Infections TrojanFermé

Question

Bonjour,

Mon PC est infecté par au moins deux Trojan, détectés par Avira Antivir : TR/Vundo.exe et TR/Downloader.exe
Pouvez-vous m'indiquer svp la procédure à suivre pour les "nettoyer" ?

Merci pour votre aide.

Nubkratos · Answer

Salut,

Télécharge sur le bureau RSIT: http://images.malwareremoval.com/random/RSIT.exe
* Double-clic dessus
* Laisser « 1 month »
* Cliquer sur « Continue »
* À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt »
* Copier/coller le rapport « log.txt » dans la réponse, fermer l'autre
** Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt »

spinaltap · Answer

Voici le rapport log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Antoine at 2009-12-04 18:32:54
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 928 MB (8%) free of 12 GB
Total RAM: 1023 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:05, on 04/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files	rend micro\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ed9e5ec99b3a) (gupdate1c9ed9e5ec99b3a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

Nubkratos · Answer

Met a jour Malwares Bytes, ferme tout tes programmes en cours d'execution

    *  Une fois la mise à jour terminée, rendez-vous dans l'onglet Recherche.
    * Sélectionnez Exécuter un examen complet.
    * Cliquez sur Rechercher. L'analyse démarre, le scan est relativement long, c'est normal.
    * A la fin de l'analyse, un message s'affiche :



L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    * Cliquez sur OK pour poursuivre. Si MBAM n'a rien trouvé, il vous le dira aussi.
    * Fermez vos navigateurs.


Si des malwares ont été détectés, cliquez sur Afficher les résultats.

    * Sélectionnez tout (ou laissez coché) et cliquez sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    * MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse, sauvegardez-le puis postez le ici

spinaltap · Answer

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3295
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

04/12/2009 22:11:58
mbam-log-2009-12-04 (22-11-58).txt

Type de recherche: Examen complet (C:\|E:\|F:\|G:\|)
Eléments examinés: 330602
Temps écoulé: 1 hour(s), 55 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP252\A0048571.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP253\A0048625.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP253\A0048629.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049617.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049621.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049635.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049636.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049638.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049639.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049640.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049712.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049713.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049714.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049722.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049776.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049777.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP256\A0049949.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP256\A0049950.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0049951.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050003.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050014.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050015.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050027.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050028.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050004.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050542.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050543.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050628.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050641.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050642.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
G:\Nettoyage PC\Outils Desinfection et Nettoyage registre 2.0.5.3.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Nubkratos · Answer

Montre le rapport du scan antivir stp

spinaltap · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 5 décembre 2009  09:49

La recherche porte sur 1417505 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : TOMAR-W1ZR6BVFA

Informations de version :
BUILD.DAT               : 9.0.0.72      21606 Bytes  08/11/2009 10:58:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  19/11/2009 17:16:30
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 17:16:30
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 17:42:39
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 17:42:39
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 17:42:40
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 17:42:40
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 17:42:40
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 17:42:40
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 17:42:40
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 17:42:40
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 17:42:40
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 17:42:40
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 17:42:40
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 17:42:40
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 19:57:38
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 19:18:33
VBASE015.VDF            : 7.10.1.129      2048 Bytes  30/11/2009 19:18:33
VBASE016.VDF            : 7.10.1.130      2048 Bytes  30/11/2009 19:18:34
VBASE017.VDF            : 7.10.1.131      2048 Bytes  30/11/2009 19:18:34
VBASE018.VDF            : 7.10.1.132      2048 Bytes  30/11/2009 19:18:34
VBASE019.VDF            : 7.10.1.133      2048 Bytes  30/11/2009 19:18:34
VBASE020.VDF            : 7.10.1.134      2048 Bytes  30/11/2009 19:18:34
VBASE021.VDF            : 7.10.1.135      2048 Bytes  30/11/2009 19:18:34
VBASE022.VDF            : 7.10.1.136      2048 Bytes  30/11/2009 19:18:34
VBASE023.VDF            : 7.10.1.137      2048 Bytes  30/11/2009 19:18:34
VBASE024.VDF            : 7.10.1.138      2048 Bytes  30/11/2009 19:18:34
VBASE025.VDF            : 7.10.1.139      2048 Bytes  30/11/2009 19:18:34
VBASE026.VDF            : 7.10.1.140      2048 Bytes  30/11/2009 19:18:34
VBASE027.VDF            : 7.10.1.141      2048 Bytes  30/11/2009 19:18:34
VBASE028.VDF            : 7.10.1.142      2048 Bytes  30/11/2009 19:18:34
VBASE029.VDF            : 7.10.1.143      2048 Bytes  30/11/2009 19:18:34
VBASE030.VDF            : 7.10.1.144      2048 Bytes  30/11/2009 19:18:35
VBASE031.VDF            : 7.10.1.169    148992 Bytes  04/12/2009 17:32:26
Version du moteur       : 8.2.1.92 
AEVDF.DLL               : 8.1.1.2      106867 Bytes  15/09/2009 15:58:02
AESCRIPT.DLL            : 8.1.2.45     586108 Bytes  18/11/2009 10:13:07
AESCN.DLL               : 8.1.2.5      127346 Bytes  03/09/2009 15:24:42
AESBX.DLL               : 8.1.1.1      246132 Bytes  19/11/2009 17:16:30
AERDL.DLL               : 8.1.3.4      479605 Bytes  02/12/2009 19:18:38
AEPACK.DLL              : 8.2.0.3      422261 Bytes  05/11/2009 14:21:24
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  17/06/2009 14:32:46
AEHEUR.DLL              : 8.1.0.184   2146681 Bytes  02/12/2009 19:18:37
AEHELP.DLL              : 8.1.7.5      237942 Bytes  25/11/2009 19:57:41
AEGEN.DLL               : 8.1.1.78     364917 Bytes  25/11/2009 19:57:40
AEEMU.DLL               : 8.1.1.0      393587 Bytes  02/10/2009 22:15:48
AECORE.DLL              : 8.1.8.5      180598 Bytes  02/12/2009 19:18:35
AEBB.DLL                : 8.1.0.3       53618 Bytes  15/10/2008 10:49:34
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  14/11/2009 08:26:25
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 14:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  14/11/2009 08:26:24
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  19/11/2009 17:16:29

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:, G:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 5 décembre 2009  09:49

La recherche d'objets cachés commence.
'59694' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SupServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OpWareSE4.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BJMYPRT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'28' processus ont été contrôlés avec '28' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'G:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
C:\WINDOWS\system32\xxop81.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen

Le registre a été contrôlé ( '40' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050671.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHOLamp.grz
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051248.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051249.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051250.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051251.exe
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051252.exe
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP274\A0052461.dll
    [RESULTAT]  Contient le cheval de Troie TR/Vundo.Gen
C:\WINDOWS\system32\xxop81.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
C:\WINDOWS\Temp\bdqu.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'E:\'
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050629.exe
    [RESULTAT]  Contient le cheval de Troie TR/Killav.299260
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050630.exe
    [RESULTAT]  Contient le cheval de Troie TR/Killav.299260
Recherche débutant dans 'F:\'
F:\Programmes installation\CrayonPhysicsDeluxe.1.0r5\Crayon Physics Deluxe v1.0r5\Crayon Physics Deluxe.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'G:\'

Début de la désinfection :
C:\WINDOWS\system32\xxop81.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. 

Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier !
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd3eadb.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050671.dll
    [RESULTAT]  Contient le cheval de Troie TR/BHOLamp.grz
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a5663.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051248.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a5664.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051249.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8757b5.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051250.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8a1dc5.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051251.exe
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a845ffd.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051252.exe
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9a4f4d.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP274\A0052461.dll
    [RESULTAT]  Contient le cheval de Troie TR/Vundo.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9b7695.qua' !
C:\WINDOWS\system32\xxop81.dll
    [RESULTAT]  Contient le cheval de Troie TR/Spy.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. 

Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\WINDOWS\Temp\bdqu.tmp
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b8b56c3.qua' !
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050629.exe
    [RESULTAT]  Contient le cheval de Troie TR/Killav.299260
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a568f.qua' !
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050630.exe
    [RESULTAT]  Contient le cheval de Troie TR/Killav.299260
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80a4d0.qua' !
F:\Programmes installation\CrayonPhysicsDeluxe.1.0r5\Crayon Physics Deluxe v1.0r5\Crayon Physics Deluxe.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7b56d1.qua' !


Fin de la recherche : samedi 5 décembre 2009  13:47
Temps nécessaire:  1:29:52 Heure(s)

La recherche a été effectuée intégralement

  11871 Les répertoires ont été contrôlés
 441175 Des fichiers ont été contrôlés
     13 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     12 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 441160 Fichiers non infectés
   3524 Les archives ont été contrôlées
      4 Avertissements
     15 Consignes
  59694 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Nubkratos · Answer

reposte un log hijack this stp

spinaltap · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Antoine at 2009-12-05 14:21:14
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 917 MB (8%) free of 12 GB
Total RAM: 1023 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:22, on 05/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files	rend micro\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: xxop81 - xxop81.dll (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ed9e5ec99b3a) (gupdate1c9ed9e5ec99b3a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

Nubkratos · Answer

Télécharger OTMoveIt (de Old_Timer) sur ton Bureau. 

ftp://zebulon.fr/OTM.exe

Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller

:files
C:\WINDOWS\system32\xxop81.dll 

dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur Exit pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le ,
( Il te sera peut-être demander de redémarrer le pc pour achever la suppression; si c'est le cas accepte par Yes. ) 

Telecharge et installe ccleaner

https://www.ccleaner.com/ccleaner/download

Pendant l'installation, décoche la case "Ajouter l'option ... " Contrôler les mises à jour "
Clique sur Options -> Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
Ne touche pas aux autres réglages.
Il n'y a pas de rapport à poster pour cet outil.

Lance CCleaner
Clique sur le bouton "Analyse"; une fois le scan terminé, clique sur "Lancer le nettoyage"
Sois patient ! Le scan peut durer la 1ère fois.

spinaltap · Answer

En attendant la fin du nettoyage de ccleaner, voici le log de OTMoveIt :

========== FILES ==========
File/Folder C:\WINDOWS\system32\xxop81.dll not found.
 
OTM by OldTimer - Version 3.0.0.6 log created on 12052009_145932

spinaltap · Answer

Analyse et nettoyage par CCleaner effectués.

Nubkratos · Answer

Clic droit sur poste de travail/propriétés:

Onglet Restauration du systeme: Coche "desactiver la restauration du systeme sur tous les lecteurs".

Redemarre ton pc.

refais la manip mais decoche cette fois , sans redemarrer apres.

Enfin, fais un scan avec ESET manip ici: https://forum.pcastuces.com/default.asp

spinaltap · Answer

Déjà 2h de scan ESET. Est-ce normal que ce soit si long ?

2 menaces trouvées pour le moment : Win32/Packed.Autoit.Gen application et Win32/Bagle.BR worm

Nubkratos · Answer

Oui, c'est normal.C'en est ou?

spinaltap · Answer

Partitions C et E déjà scannées. Actuellement, c'est la F (30 Go). Reste ensuite la G (80 Go) qui ne contient pas de données "système".

spinaltap · Answer

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=cbd04668d49d974aaa64e6980dd5056f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-12-05 06:36:58
# local_time=2009-12-05 07:36:58 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 7391 7391 0 0
# compatibility_mode=1797 16775125 100 100 197532 56083376 71496 0
# compatibility_mode=8192 67108863 100 0 3743 3743 0 0
# scanned=198092
# found=3
# cleaned=0
# scan_time=15160
C:\Documents and Settings\Antoine\Local Settings\Application Data\Identities\{7ACD8644-0F74-4F7C-87F5-39CAF8C5C840}\Microsoft\Outlook Express\Réception.dbx	Win32/Bagle.BR worm	00000000000000000000000000000000	I
C:\Program Files\ESET\ESET Smart Security
odlogin.exe	Win32/Packed.Autoit.Gen application	00000000000000000000000000000000	I
E:\Programmes\NOD32.ESET.Smart.Security.v3.0.672.FR.Incl-Crack\NodLogin_9.7_32Bits\setup.exe	Win32/Packed.Autoit.Gen application	00000000000000000000000000000000	I

Nubkratos · Answer

Supprime manuellement les fichiers en gras:

E:\Programmes\NOD32.ESET.Smart.Security.v3.0.672.FR.Incl-Crack\NodLogin_9.7_32Bits\setup.exe

C:\Program Files\ESET\ESET Smart Security
odlogin.exe

Puis:

Téléchargez FindyKill (de Chiquitine29 & C_XX) sur votre Bureau. http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
* Double-cliquez sur le programme FindyKill présent sur votre Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra.
* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)

spinaltap · Answer

############################## | FindyKill V5.020 |

# User : Antoine (Administrateurs) # TOMAR-W1ZR6BVFA
# Update on 26/11/2009 by Chiquitine29
# Start at: 22:15:40 | 05/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 1800+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 11,72 Go (2,28 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 25,54 Go (1,7 Go free) # NTFS
# F:\ # Disque fixe local # 29,29 Go (2,13 Go free) # NTFS
# G:\ # Disque fixe local # 82,49 Go (7,21 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Antoine\Application Data |


################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | Cracks / Keygens / Serials |

"C:\Program Files\MP3 CD Ripper\Keygen.exe"  
29/08/2009 01:00 |Size 151552 |Crc32 ee9a7f09 |Md5 a94ddd127d01d3770a9f166a9158df12  
 
"F:\Programmes installation\MP3.CDRipper.Plus.Patch.FRDST-wWw.Extreme-Down.Com\Keygen.exe"  
29/08/2009 01:00 |Size 151552 |Crc32 ee9a7f09 |Md5 a94ddd127d01d3770a9f166a9158df12  
 

################## | ! Fin du rapport # FindyKill V5.020 ! |

Nubkratos · Answer

ah, des cracks, encore des cracks!

supprime ce fichier :C:\Documents and Settings\Antoine\Local Settings\Application Data\Identities\{7ACD8644-0F74-4F7C-87F5-39CAF8C5C840}\Microsoft\Outlook Express\Réception.dbx

spinaltap · Answer

C'est fait

Nubkratos · Answer

Repasse un coup de ccleaner + onglet registre et ce sera terminé
.

spinaltap · Answer

Nettoyage de CCleaner effectué. Plus d'alerte trojan : Je croise les doigts.
Merci beaucoup pour ton intervention, Nubkratos.

Nubkratos · Answer

Il n'y avait pas réellement d'infections .

Seule la restauration du systeme était infectée ;)

spinaltap · Answer

Mauvaise nouvelle : le Trojan Vundo.gen est encore présent. Je viens de nouveau d'avoir une alerte d'Antivir.

Nubkratos · Answer

Montre le rapport

spinaltap · Answer

Dernier fichier infecté : C:\WINDOWS\system32	dlcmd.dll
Dernier logiciel malveillant trouvé : TR/Vundo.Gen
Dernier fichier contrôlé : C:\Documents and Settings\Antoine\Application Data\Mozilla\Firefox\Profiles\xv94n4v0.default\cookies.sqlite-journal

Ces infos sont elles suffisantes ?

Nubkratos · Answer

lance un scan MBAM en mode rapide et supprime les resultats

spinaltap · Answer

Aucun élément nuisible n'a été détecté par MBAM :

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3295
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

06/12/2009 15:38:00
mbam-log-2009-12-06 (15-38-00).txt

Type de recherche: Examen rapide
Eléments examinés: 99922
Temps écoulé: 4 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Nubkratos · Answer

hmm.. Poste uen log hijack stp

spinaltap · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Antoine at 2009-12-06 16:30:06
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 3 GB (23%) free of 12 GB
Total RAM: 1023 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:30:14, on 06/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Bureau\Nettoyage Trojans\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O20 - Winlogon Notify: xxop81 - xxop81.dll (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ed9e5ec99b3a) (gupdate1c9ed9e5ec99b3a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

spinaltap · Answer

Le problème n'est malheureusement pas réglé. Il y a encore des alertes antivir pour TR/Vundo.gen.

Nubkratos · Answer

suis ce tuto et poste le log a la fin

spinaltap · Answer

Je ne vois pas le tuto ?

Nubkratos · Answer

oups le voici :

https://forum.pcastuces.com/bitdefender_online_scanner___tutoriel-f25s31584.htm

spinaltap · Answer

Il n'y a pas de log mais voici le rapport de BitDefender online :

Fichiers analysés
	
Statut

C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP1\A0000021.exe
	
Infecté par: Trojan.AutoIt.VH

C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP1\A0000021.exe
	
Supprimé

E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP1\A0000015.exe
	
Infecté par: Trojan.AutoIt.VH

E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP1\A0000015.exe
	
Supprimé

Nubkratos · Answer

Ok vide la restauration systeme (ton pc n'est pas infecté)

# Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.
# Dans la boîte de dialogue Propriétés système, cliquez sur l'onglet Restauration du système.
# Activez la case à cocher Désactiver la Restauration du système. Vous pouvez également activer la case à cocher Désactiver la Restauration du système sur tous les lecteurs.
# Cliquez sur OK.

Refais la manip mais cette fois en decochant "Desactiver..." et sans redemarrer apres.

Les logs sont cleans sinon, tu peux mettre en résolu ;)

spinaltap · Answer

C'est fait. (Je croise les doigts) : RÉSOLU. 
Merci Nubkratos.

spinaltap · Answer

Encore une fausse joie. 
Je viens d'avoir exactement la même alerte par Avira Antivir.
Question : Ce trojan Vundo.gen est-il réellement dangereux ? Auquel cas, est-il possible de l'exclure simplement dans la détection de Antivir ?
Autre solution, plus radicale : remplacer Antivir par un autre antivirus gratuit et léger. 
J'avoue que ces alertes comment à me fatiguer sérieusement.

NONI · Answer

Bonjour,
Vundo est un virus cheval de Troie. Vundo à supprimer de votre ordinateur, suivez ces instructions
http://www.darfuns.com/remove-vundo-trojan/

DePassage · Answer

Salut,

tu n'es pas infecté par Vundo (antivir se trompe) mais par TDSS :

C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\R­P252\A0048571.dll (Rootkit.TDSS) -> Quarantined and deleted successfully. 

 

Changez d'antivirus ne règlera rien;

 

Ton ordi est (très probablement) aujourd'hui un ordinateur zombi utilisé par les responsables d'un bot malveillant.

 
Bonne chance pour la suite.

spinaltap · Answer

Ok, et si c'est le cas, que puis-je faire pour nettoyer TDSS ?

Nubkratos · Answer

Formatage + reinstallatation XP ;) avec killdisk obligatoirement

http://www.commentcamarche.net/...

spinaltap · Answer

Radical le remède. Il n'y a pas plus soft pour éradiquer ce TDSS ?

Nubkratos · Answer

On va tenter la methode ultime:

Execute cette manip:

/!\Au moment de l'enregistrement de combofix.exe, renomme le en ccm.exe/!\

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

spinaltap · Answer

ComboFix 09-12-08.03 - Antoine 08/12/2009  20:39:50.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.760 [GMT 1:00]
Lancé depuis: c:\documents and settings\Antoine\Bureau\ccm.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32	dlrm.dll

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty ate it :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-08 au 2009-12-08  ))))))))))))))))))))))))))))))))))))
.

2009-12-08 18:56 . 2009-12-08 18:56	--------	d-----w-	c:\windows\Performance
2009-12-08 18:55 . 2009-12-08 18:55	--------	d-----w-	c:\program files\Microsoft Windows 7 Upgrade Advisor
2009-12-08 18:53 . 2009-12-08 18:53	--------	d-----w-	c:\documents and settings\Antoine\Local Settings\Application Data\Microsoft Corporation
2009-12-07 17:48 . 2009-12-07 18:32	--------	d-----w-	c:\windows\BDOSCAN8
2009-12-05 21:14 . 2009-12-05 21:34	--------	d-----w-	C:\FindyKill
2009-12-05 14:02 . 2009-12-05 14:02	--------	d-----w-	c:\program files\CCleaner
2009-12-05 13:59 . 2009-12-05 13:59	--------	d-----w-	C:\_OTM
2009-12-05 08:41 . 2008-01-09 11:28	27632	----a-w-	c:\windows\system32\drivers\seehcri.sys
2009-12-05 08:41 . 2009-12-05 08:41	148736	----a-w-	c:\documents and settings\All Users\Application Data\hpe6.dll
2009-12-04 18:51 . 2009-12-04 18:51	4844296	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-04 17:32 . 2009-12-06 15:27	--------	d-----w-	c:\program files	rend micro
2009-12-04 17:32 . 2009-12-04 17:33	--------	d-----w-	C:sit
2009-11-21 17:16 . 2009-11-21 17:16	--------	d-----w-	c:\documents and settings\Antoine\Local Settings\Application Data\Neuf
2009-11-21 17:15 . 2009-11-21 17:15	--------	d-----w-	c:\program files\SFR
2009-11-19 19:05 . 2009-11-19 19:05	--------	d-----w-	c:\documents and settings\Antoine\Application Data\Malwarebytes
2009-11-19 19:05 . 2009-12-03 15:14	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-19 19:05 . 2009-12-03 15:13	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-11-19 19:05 . 2009-11-19 19:05	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-19 19:05 . 2009-12-04 21:11	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-11-12 20:09 . 2009-11-14 08:26	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-11-12 20:09 . 2009-03-30 09:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-11-12 20:09 . 2009-02-13 11:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-11-12 20:09 . 2009-02-13 11:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-11-12 20:09 . 2009-11-12 20:09	--------	d-----w-	c:\program files\Avira
2009-11-12 20:09 . 2009-11-12 20:09	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-11-12 18:17 . 2009-11-12 18:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\NortonInstaller
2009-11-12 17:00 . 2009-11-12 17:04	344562	----a-w-	C:\BdUninstallTool2009.11.12-06.00.20.reg
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\wsbl.dat
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\ph_white.dat
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\ph_summ.dat
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\ph_black.dat
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\pcwords2.dat
2009-11-12 08:23 . 2009-11-12 08:23	0	----a-w-	c:\windows\system32\pcwords.dat
2009-11-11 22:32 . 2009-11-12 08:25	132	----a-w-	c:\windows\system32ezumatenoi.dat
2009-11-11 21:32 . 2009-11-11 21:32	--------	d-----w-	c:\windows\system32\wbem\Repository

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-08 18:44 . 2008-12-16 18:41	--------	d-----w-	c:\documents and settings\Antoine\Application Data\FileZilla
2009-12-05 21:12 . 2009-01-05 18:15	--------	d-----w-	c:\program files\ESET
2009-12-05 08:41 . 2009-03-07 12:28	--------	d-----w-	c:\program files\Sony Ericsson
2009-12-05 08:41 . 2009-02-01 09:07	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-05 08:40 . 2009-03-07 12:29	--------	d-----w-	c:\program files\Avanquest update
2009-12-01 20:02 . 2009-06-15 09:47	--------	d-----w-	c:\program files\Google
2009-11-28 13:32 . 2008-12-17 10:18	--------	d-----w-	c:\documents and settings\Antoine\Application Data\uTorrent
2009-11-21 17:41 . 2008-12-18 08:25	--------	d-----w-	c:\program files\eMule
2009-11-12 19:13 . 2009-10-04 14:36	--------	d-----w-	c:\program files\Dr.Kawashima_Demo
2009-11-12 17:01 . 2009-11-12 17:01	152328	----a-w-	c:\windows\system32\drivers\bdfm.sys.upd
2009-11-12 17:01 . 2009-11-12 17:01	105736	----a-w-	c:\windows\system32\drivers\bdhv.sys.upd
2009-11-12 16:59 . 2009-11-12 16:59	110856	----a-w-	c:\windows\system32\drivers\bdfndisf.sys.upd
2009-11-11 22:09 . 2009-11-05 10:51	--------	d-----w-	c:\documents and settings\Antoine\Application Data\GlarySoft
2009-11-11 21:52 . 2009-11-05 10:49	--------	d-----w-	c:\program files\Glary Utilities
2009-10-25 17:56 . 2009-10-25 17:56	17585648	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08p\RealPlayerSPGold_fr.exe
2009-10-25 08:17 . 2001-08-28 14:00	71248	----a-w-	c:\windows\system32\perfc00C.dat
2009-10-25 08:17 . 2001-08-28 14:00	458230	----a-w-	c:\windows\system32\perfh00C.dat
2009-10-19 16:54 . 2008-12-16 18:18	--------	d-----w-	c:\program files\Mozilla Thunderbird
2009-10-03 20:08 . 2009-10-03 20:08	8405312	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2009-10-03 20:08 . 2009-10-03 20:08	10309448	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\chr\ChromeInstaller.exe
2009-10-03 20:07 . 2009-10-03 20:07	64000	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\RUP\inst_config\gcapi_dll.dll
2009-10-03 20:07 . 2009-10-03 20:07	52288	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\RUP\inst_config\gtapi.dll
2009-10-03 20:07 . 2009-10-03 20:07	50688	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\RUP\inst_config\fftbapi.dll
2009-10-03 20:07 . 2009-10-03 20:07	114688	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\RUP\inst_config\compat.dll
2009-10-03 12:07 . 2009-10-03 12:07	435720	----a-w-	c:\documents and settings\Antoine\Application Data\Real\Update\setup3.08\setup.exe
2009-08-07 09:38 . 2009-11-11 22:25	44544	----a-w-	c:\program files\mozilla firefox\components\FFComm.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2009-09-24 434176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-disabled]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
"NodLogin"="c:\program files\ESET\ESET Smart Security
odlogin.exe" /o
"SSBkgdUpdate"="c:\program files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"mstcm32.exe"= mstcm32.exe:Windows MSTCM Control Host
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"=
"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/11/2009 21:09 108289]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [05/12/2009 09:41 27632]
S2 gupdate1c9ed9e5ec99b3a;Service Google Update (gupdate1c9ed9e5ec99b3a);c:\program files\Google\Update\GoogleUpdate.exe [15/06/2009 10:47 133104]
S2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [05/12/2009 09:41 90112]
S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [07/03/2009 13:29 90536]
S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [07/03/2009 13:29 15016]
S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [07/03/2009 13:29 122152]
S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [07/03/2009 13:29 115496]
S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [07/03/2009 13:29 25768]
S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [07/03/2009 13:29 111912]
S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [07/03/2009 13:29 117672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx	REG_MULTI_SZ   	scan
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - f:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\xv94n4v0.default\
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pFoxitReaderPlugin.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-xxop81 - xxop81.dll
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUNINST.EXE -fc:\program files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.isu -cc:\program files\Fichiers communs\Adobe\Acrobat 5.0\NT\Uninst.dll
AddRemove-ASUS Probe V2.19.01 - c:\program files\ASUS\Probe\DeIsL1.isu -cc:\program files\ASUS\Probe\probunis.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-08 20:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-12-08  20:46:03
ComboFix-quarantined-files.txt  2009-12-08 19:46

Avant-CF: 2 689 589 248 octets libres
Après-CF: 2 666 512 384 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 5BCD3E09B8F7331D9CEAEEA3333AF3EB

Nubkratos · Answer

Encore des alertes antivir? Met le a jour, et fais un scan complet.

spinaltap · Answer

Aucune alerte TR/vundo.gen depuis quatre jours : On y croit !

Infections Trojan

47 réponses

Discussions similaires

Newsletters