Sujet Précédent Sujet Suivant

Virus détecté par antivir + pub sous mozilla

Fermé
mcguffin - 18 déc. 2009 à 19:09
 mcguffin - 21 déc. 2009 à 22:15
Bonjour,

Antivir guard me détecte un virus Heur/crypted qui change de nom et qui est stocké dans Windows/temp. comment s'en débarrassé.

De plus, quand je surfe avec mozilla, j'ai une page de pub qui apparait en début de session. et j'ai été victime de redirection sous google, mais ce phénomène s'estompe a priori.

J'ai scanné mon pc avec malwarebytes, ccleaner, antivir et spybot.

Merci d'avance pour votre expertise
A voir également:

18 réponses

Réponse 1 / 18
kgoo Messages postés 105 Date d'inscription vendredi 5 octobre 2007 Statut Membre Dernière intervention 18 décembre 2009 8
18 déc. 2009 à 19:10
Fait un nettoyage de ton dossier temporaire et vide le cache de ton navigateur.
0
mxguffin
18 déc. 2009 à 19:13
Salut,

C'est ce que je fais avec ATF cleaner, mais il réapparait. Que faire d'autre ?
0
Réponse 2 / 18
Utilisateur anonyme
18 déc. 2009 à 19:16
Bonsoir,

Peux tu poster tes rapports Antivir et Malwarebytes stp


a+
0
mcguffin
18 déc. 2009 à 19:28
voici mon log malwarebytes

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3382
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18/12/2009 19:27:29
mbam-log-2009-12-18 (19-27-29).txt

Type de recherche: Examen rapide
Eléments examinés: 96780
Temps écoulé: 3 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 3 / 18
kgoo Messages postés 105 Date d'inscription vendredi 5 octobre 2007 Statut Membre Dernière intervention 18 décembre 2009 8
18 déc. 2009 à 19:32
Essles anti virus en ligne, fais une recherche sur un moteur de recherche tu en trouveras.
0
Réponse 4 / 18
Utilisateur anonyme
18 déc. 2009 à 19:33
Ok

Pas grand intérêt pour MBAM....puisqu'aucune détection !
Le rapport antivir stp...

a+
0
mcguffin
18 déc. 2009 à 20:03
le rapport antivir



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 18 décembre 2009 19:30

La recherche porte sur 1455255 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PROPRIETAIRE

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:48
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:04
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:12
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 22:09:38
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 22:09:38
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 22:09:38
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 22:09:38
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 22:09:38
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 22:09:38
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 22:09:38
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 22:09:38
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 22:09:38
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 22:09:40
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 22:09:40
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 22:09:40
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 22:09:40
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 22:09:40
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 22:09:42
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 22:08:06
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 22:08:06
VBASE018.VDF : 7.10.1.248 2048 Bytes 15/12/2009 22:08:06
VBASE019.VDF : 7.10.1.249 2048 Bytes 15/12/2009 22:08:06
VBASE020.VDF : 7.10.1.250 2048 Bytes 15/12/2009 22:08:06
VBASE021.VDF : 7.10.1.251 2048 Bytes 15/12/2009 22:08:06
VBASE022.VDF : 7.10.1.252 2048 Bytes 15/12/2009 22:08:06
VBASE023.VDF : 7.10.1.253 2048 Bytes 15/12/2009 22:08:06
VBASE024.VDF : 7.10.1.254 2048 Bytes 15/12/2009 22:08:06
VBASE025.VDF : 7.10.1.255 2048 Bytes 15/12/2009 22:08:06
VBASE026.VDF : 7.10.2.0 2048 Bytes 15/12/2009 22:08:06
VBASE027.VDF : 7.10.2.1 2048 Bytes 15/12/2009 22:08:06
VBASE028.VDF : 7.10.2.2 2048 Bytes 15/12/2009 22:08:06
VBASE029.VDF : 7.10.2.3 2048 Bytes 15/12/2009 22:08:06
VBASE030.VDF : 7.10.2.4 2048 Bytes 15/12/2009 22:08:06
VBASE031.VDF : 7.10.2.17 134656 Bytes 17/12/2009 08:05:28
Version du moteur : 8.2.1.114
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.3 586106 Bytes 17/12/2009 08:05:30
AESCN.DLL : 8.1.3.0 127348 Bytes 13/12/2009 22:09:48
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 13/12/2009 22:09:48
AEPACK.DLL : 8.2.0.3 422261 Bytes 08/11/2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.186 2183544 Bytes 13/12/2009 22:09:46
AEHELP.DLL : 8.1.9.0 237943 Bytes 17/12/2009 08:05:28
AEGEN.DLL : 8.1.1.81 369014 Bytes 17/12/2009 08:05:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 13/12/2009 22:09:42
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:32
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:32
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:44
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:24
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:38
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:58
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:00
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:28
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : vendredi 18 décembre 2009 19:30

La recherche d'objets cachés commence.
'38329' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CTFMON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NVSVC32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'27' processus ont été contrôlés avec '27' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '45' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix.exe
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Xavier\Bureau\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[AVERTISSEMENT] Fichier ignoré.


Fin de la recherche : vendredi 18 décembre 2009 19:59
Temps nécessaire: 22:22 Minute(s)

La recherche a été effectuée intégralement

7661 Les répertoires ont été contrôlés
223255 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
223249 Fichiers non infectés
7004 Les archives ont été contrôlées
5 Avertissements
2 Consignes
38329 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
mcguffin > mcguffin
18 déc. 2009 à 20:28
Je précise que c'est l'antivir guard qui détecte le fichier HEUR/Crypted. il m'en détecte un tous les 15/20 mins
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Utilisateur anonyme
18 déc. 2009 à 20:29
Telecharge ToolsCleaner2--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt

*******************************

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l’analyse .

Les rapports sont dans le dossier ici C:\rsit
a+



0
mcguffin
18 déc. 2009 à 20:37
le rapport tcleaner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\TB.txt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Xavier\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Xavier\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Xavier\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Xavier\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\Xavier\Bureau\Rsit: trouvé !
C:\Documents and Settings\Xavier\Bureau\RSIT\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Xavier\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Xavier\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Xavier\Bureau\ToolBarSD.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\TB.txt: supprimé !
C:\Documents and Settings\Xavier\Bureau\RSIT\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Xavier\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\Xavier\Bureau\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
mcguffin > mcguffin
18 déc. 2009 à 20:40
le log.txt de RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Xavier at 2009-12-18 20:38:26
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 17 GB (30%) free of 56 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:43, on 18/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Xavier\Bureau\RSIT.exe
C:\Program Files\trend micro\Xavier.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 6 / 18
Utilisateur anonyme
18 déc. 2009 à 20:44
Ok...

Oupsss on s'est croisé.....

Je regarde ton log...

a+
0
mcguffin
18 déc. 2009 à 20:47
j'ai mis les 3 rapports demandés (1 ToolsCleaner + les 2 RSIT). en ai-je oublié un ?
0
Réponse 7 / 18
Utilisateur anonyme
18 déc. 2009 à 21:16
C'est un peu le souk concernant tes antivirus....
==> Il n'en faut qu''un sinon conflits entre-eux !
On verra cela à la fin !!!!!

---> Télécharge OTM (OldTimer) sur ton Bureau :
http: http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

:processes
explorer.exe

:files
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
C:\Program Files\Panda Security
C:\Program Files\Lavasoft
C:\Documents and Settings\All Users\Application Data\Lavasoft
C:\WINDOWS\system32\tmp.txt




:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]


:commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre :
Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

******************************
Ouvres ce fichier:

C:\Program Files\Malwarebytes' Anti-Malware

+==> Lances le et ,
mets le a jour...(onglet mise a jour)
Click maintenant sur l´onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "oui".
A la fin un rapport va s´ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.





a+
0
mcguffin
18 déc. 2009 à 21:24
log OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job moved successfully.
C:\Program Files\Panda Security folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\AutoStart Manager\Translations folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\AutoStart Manager\Skins\grey folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\AutoStart Manager\Skins folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\AutoStart Manager folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\LT\Lang folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox\LT folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\ToolBox folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Resources folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Languages folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Drivers\64 folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Drivers\32 folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Drivers folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release\Uncompressed\data\Microsoft Visual C++ Runtime 9.0 (includes ATL and MFC) Service Pack 1\3CBFA2AD\373872A7 folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release\Uncompressed\data\Microsoft Visual C++ Runtime 9.0 (includes ATL and MFC) Service Pack 1\3CBFA2AD folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release\Uncompressed\data\Microsoft Visual C++ Runtime 9.0 (includes ATL and MFC) Service Pack 1 folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release\Uncompressed\data folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release\Uncompressed folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware\Release folder moved successfully.
C:\Program Files\Lavasoft\Ad-Aware folder moved successfully.
C:\Program Files\Lavasoft folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\License folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Statistics folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\MiniMessage folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork Alliance\Submit folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\ThreatWork Alliance folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Quarantine folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Logs folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Resources folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Languages folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Update folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Crashdumps folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Defs\Extended folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware\Defs folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft\Ad-Aware folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Lavasoft folder moved successfully.
C:\WINDOWS\system32\tmp.txt moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Xavier
->Temp folder emptied: 372166 bytes
->Temporary Internet Files folder emptied: 434689 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 77280224 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1263104 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 1005147 bytes
RecycleBin emptied: 469175 bytes

Total Files Cleaned = 77,14 mb


OTM by OldTimer - Version 3.1.2.2 log created on 12182009_211947

Files moved on Reboot...
C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KI5D209N\GetAdDirector_BannerCreative[1].htm moved successfully.
C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\N06FC09J\dot[1].gif moved successfully.
C:\WINDOWS\System32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\G1SLCF07\api[1].php moved successfully.

Registry entries deleted on Reboot...
0
mcguffin > mcguffin
18 déc. 2009 à 21:28
log MBAM

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3382
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

18/12/2009 21:27:49
mbam-log-2009-12-18 (21-27-49).txt

Type de recherche: Examen rapide
Eléments examinés: 97170
Temps écoulé: 2 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 8 / 18
Utilisateur anonyme
18 déc. 2009 à 21:33
Bien....

Décidément.....

On s'est recroisé.....

==> T'es un rapide toi ...lol

==> Relances un scan Antivir et je pense qu'il sera clean !?

a+


a+
0
mcguffin
18 déc. 2009 à 21:47
C'est un problème que j'ai envie de régler rapidement, d'où ma rapidité ;-)

je lance un scan antivir et je te poste tout ça

Merci encore
A+
0
mcguffin > mcguffin
18 déc. 2009 à 22:13
le rapport antivir



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 18 décembre 2009 21:48

La recherche porte sur 1455255 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PROPRIETAIRE

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 10:25:48
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:04
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:12
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 22:09:38
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 22:09:38
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 22:09:38
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 22:09:38
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 22:09:38
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 22:09:38
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 22:09:38
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 22:09:38
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 22:09:38
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 22:09:40
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 22:09:40
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 22:09:40
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 22:09:40
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 22:09:40
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 22:09:42
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 22:08:06
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 22:08:06
VBASE018.VDF : 7.10.1.248 2048 Bytes 15/12/2009 22:08:06
VBASE019.VDF : 7.10.1.249 2048 Bytes 15/12/2009 22:08:06
VBASE020.VDF : 7.10.1.250 2048 Bytes 15/12/2009 22:08:06
VBASE021.VDF : 7.10.1.251 2048 Bytes 15/12/2009 22:08:06
VBASE022.VDF : 7.10.1.252 2048 Bytes 15/12/2009 22:08:06
VBASE023.VDF : 7.10.1.253 2048 Bytes 15/12/2009 22:08:06
VBASE024.VDF : 7.10.1.254 2048 Bytes 15/12/2009 22:08:06
VBASE025.VDF : 7.10.1.255 2048 Bytes 15/12/2009 22:08:06
VBASE026.VDF : 7.10.2.0 2048 Bytes 15/12/2009 22:08:06
VBASE027.VDF : 7.10.2.1 2048 Bytes 15/12/2009 22:08:06
VBASE028.VDF : 7.10.2.2 2048 Bytes 15/12/2009 22:08:06
VBASE029.VDF : 7.10.2.3 2048 Bytes 15/12/2009 22:08:06
VBASE030.VDF : 7.10.2.4 2048 Bytes 15/12/2009 22:08:06
VBASE031.VDF : 7.10.2.17 134656 Bytes 17/12/2009 08:05:28
Version du moteur : 8.2.1.114
AEVDF.DLL : 8.1.1.2 106867 Bytes 08/11/2009 06:38:52
AESCRIPT.DLL : 8.1.3.3 586106 Bytes 17/12/2009 08:05:30
AESCN.DLL : 8.1.3.0 127348 Bytes 13/12/2009 22:09:48
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 13/12/2009 22:09:48
AEPACK.DLL : 8.2.0.3 422261 Bytes 08/11/2009 06:38:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 06:38:38
AEHEUR.DLL : 8.1.0.186 2183544 Bytes 13/12/2009 22:09:46
AEHELP.DLL : 8.1.9.0 237943 Bytes 17/12/2009 08:05:28
AEGEN.DLL : 8.1.1.81 369014 Bytes 17/12/2009 08:05:28
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 13/12/2009 22:09:42
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:32
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 14:13:32
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:44
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:24
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:38
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:58
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:00
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:28
RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 15:58:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : vendredi 18 décembre 2009 21:48

La recherche d'objets cachés commence.
'37683' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'27' processus ont été contrôlés avec '27' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '45' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045319.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045358.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045359.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
Recherche débutant dans 'D:\'

Début de la désinfection :
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045319.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b5bf02d.qua' !
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045358.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a29891e.qua' !
C:\System Volume Information\_restore{0968C118-D07A-4468-9CE8-B8782BE912C3}\RP729\A0045359.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a2f78ee.qua' !


Fin de la recherche : vendredi 18 décembre 2009 22:11
Temps nécessaire: 22:33 Minute(s)

La recherche a été effectuée intégralement

7682 Les répertoires ont été contrôlés
222807 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
222801 Fichiers non infectés
6980 Les archives ont été contrôlées
2 Avertissements
5 Consignes
37683 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Alors, quoi de neuf docteur ?
0
Réponse 9 / 18
Utilisateur anonyme
18 déc. 2009 à 22:24
Très bien,

Les détections sont trouvées ds le système de restauration donc inopérantes....

Refais un RSIT stp

a+


0
mcguffin
18 déc. 2009 à 22:30
et un log RSIT, un !

Logfile of random's system information tool 1.06 (written by random/random)
Run by ......at 2009-12-18 22:28:07
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 17 GB (30%) free of 56 GB
Total RAM: 2047 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:18, on 18/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Xavier\Bureau\RSIT.exe
C:\Program Files\trend micro\Xavier.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=\\.\globalroot\systemroot\system32\userinit.exe,
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
mcguffin > mcguffin
18 déc. 2009 à 23:10
Salut,

Quand tu disais que c'était le souk avec mes antivirus, ça voulait dire quoi au juste ?
0
Réponse 10 / 18
Utilisateur anonyme
19 déc. 2009 à 00:17
<code>Quand tu disais que c'était le souk avec mes antivirus, ça voulait dire quoi au juste ?</code

==> Laisses tomber, je l'ai viré à ton insu via OTM ...


Cepandant ceci n'est pas à jourr:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal






>--
Si c'est ton seul problème ..°!°... sois heureux °!².....
0
mcguffin
19 déc. 2009 à 00:29
tu m'as viré ad-aware qui faisait doublon, c'est ça ?


Sinon, je n'utilise pas IE, dois-je le mettre qd même à jour ?
Le SP2, c'est volontaire par rapport à du harware. on m'avait conseillé à l'époque de mon achat de ne pas passer à SP3 sous peine que le matos ne fonctionne pas correctement.

sinon, antivir guard vient encore de me détecter un HEUR/Crypted à l'instant.

Merci encore
0
Réponse 11 / 18
Utilisateur anonyme
19 déc. 2009 à 01:43
Réponse point par point: 


Tu m'as viré ad-aware qui faisait doublon, c'est ça ?

Non...tout simplement par ce qu'il n'est plus mis à jour..donc inutile ! 

Sinon, je n'utilise pas IE, dois-je le mettre qd même à jour ?

Si toi tu ne l'utilises pas ,microsoft (windows) l'utilise pour les mises à jour de ton systême...
==> D'ou l'intérêt de ses mises à jour !!!!! 

on m'avait conseillé à l'époque de mon achat de ne pas passer à SP3

==> Ridicule...Windows fonctionne avec ses paramêtres,donc si sp3 a été intallé
ce n'est pa spour rien !!!!! 

sinon, antivir guard vient encore de me détecter un HEUR/Crypted à l'instant.


---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/Beta/KittyFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



a+
0
mcguffin
19 déc. 2009 à 09:38
J'ai suivi tes instructions. Combofix a travaillé et a redémarré deux fois la machine.
Voici le log :

ComboFix 09-12-18.02 - Xavier 19/12/2009 9:24.1.2 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.2047.1680 [GMT 1:00]
Lancé depuis: c:\documents and settings\Xavier\Bureau\KittyFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\msvcsv60.dll
c:\windows\system32\tmp.reg

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


((((((((((((((((((((((((((((( Fichiers créés du 2009-11-19 au 2009-12-19 ))))))))))))))))))))))))))))))))))))
.

2009-12-18 23:49 . 2007-12-30 04:01 307200 ----a-w- c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\lmlf8ru4.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\psftp.exe
2009-12-18 23:49 . 2007-12-30 04:01 172032 ----a-w- c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\lmlf8ru4.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\puttygen.exe
2009-12-18 23:49 . 2007-12-30 04:01 90112 ----a-w- c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\lmlf8ru4.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
2009-12-18 20:19 . 2009-12-18 20:19 -------- d-----w- C:\_OTM
2009-12-18 19:38 . 2009-12-18 19:38 -------- d-----w- C:\rsit
2009-12-18 19:00 . 2009-12-18 19:00 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-15 16:49 . 2009-12-15 16:49 -------- d-----w- c:\program files\SEAF
2009-12-14 22:42 . 2009-12-14 22:42 -------- d-----w- c:\documents and settings\All Users\Application Data\TEMP
2009-12-14 22:42 . 2005-08-25 18:18 118784 ----a-w- c:\windows\system32\MSSTDFMT.DLL
2009-12-14 22:42 . 2009-12-14 22:42 -------- d-----w- c:\program files\SpywareBlaster
2009-12-13 22:07 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-13 22:07 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-12-13 22:07 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-12-13 22:07 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-12-13 22:07 . 2009-12-13 22:07 -------- d-----w- c:\program files\Avira
2009-12-13 22:07 . 2009-12-13 22:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-12-13 19:30 . 2009-12-13 19:30 54016 ----a-w- c:\windows\system32\drivers\rqpbprf.sys
2009-12-13 19:24 . 2009-12-13 19:24 -------- d-----w- c:\documents and settings\Xavier\Application Data\Malwarebytes
2009-12-13 19:24 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-13 19:24 . 2009-12-13 19:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-13 19:24 . 2009-12-13 19:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-13 19:24 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-13 19:24 . 2007-12-24 16:37 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-13 17:43 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-13 11:06 . 2009-12-13 11:06 -------- d-----w- c:\program files\Trend Micro
2009-12-12 18:04 . 2009-12-12 18:04 -------- d-----w- c:\documents and settings\Xavier\Application Data\Auslogics
2009-12-12 18:04 . 2009-12-12 18:04 -------- d-----w- c:\program files\Auslogics
2009-12-11 21:38 . 2009-12-11 21:38 -------- d-----w- c:\documents and settings\Xavier\Local Settings\Application Data\Native Instruments
2009-12-11 20:40 . 2009-12-11 20:17 15880 ----a-w- c:\windows\system32\lsdelete.exe
2009-12-11 20:17 . 2009-09-23 12:55 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-12-11 20:05 . 2009-12-11 20:05 -------- d-----w- c:\program files\CCleaner
2009-12-11 18:07 . 2009-12-11 18:07 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2009-12-11 17:37 . 2003-07-06 07:10 17408 ------w- c:\windows\system32\minimp3.exe
2009-12-11 17:36 . 2009-12-11 17:36 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2009-12-11 17:35 . 2009-12-11 17:35 -------- d-----w- c:\program files\Fichiers communs\Native Instruments
2009-12-11 17:20 . 2009-12-11 17:20 -------- d-----w- c:\program files\TC Electronic
2009-12-11 17:15 . 2009-12-11 17:15 -------- d-----w- c:\program files\Brainworx Music
2009-11-30 09:11 . 2009-12-18 10:09 16 ----a-w- c:\windows\msocreg32.dat
2009-11-30 08:23 . 2009-11-30 08:23 -------- d-----w- c:\documents and settings\Xavier\Application Data\InstallShield

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-13 19:14 . 2004-08-03 21:59 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-10-24 20:29 . 2009-10-24 20:29 -------- d-----w- c:\documents and settings\Xavier\Application Data\StreamTorrent
2009-10-24 20:29 . 2009-10-24 20:29 -------- d-----w- c:\program files\StreamTorrent 1.0
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\Xavier\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Manager.lnk
backup=c:\windows\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^MultiFrame.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\MultiFrame.lnk
backup=c:\windows\pss\MultiFrame.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update]
2006-02-21 14:20 180224 ----a-w- c:\program files\Asus\ASUS Live Update\ALU.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATKMEDIA]
2006-06-08 19:33 53248 ----a-w- c:\program files\Asus\ATK Media\DMedia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2006-08-01 23:32 696320 ----a-w- c:\program files\Intel\Wireless\Bin\iFrmewrk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]
2006-08-01 23:38 802816 ----a-w- c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
2006-09-07 16:58 778240 ----a-w- c:\program files\PowerForPhone\PowerForPhone\PowerForPhone.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-08-07 00:11 573440 ----a-r- c:\program files\Motorola\SMSERIAL\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2006-05-25 07:02 786521 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wireless Console 2]
2005-10-17 16:09 987136 ----a-w- c:\program files\Wireless Console 2\wcourier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Soulseek-Test\\slsk.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\CM3\\cm0102.exe"=
"c:\\Program Files\\StreamTorrent 1.0\\StreamTorrent.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\program files\SFR\Media Center\httpd\httpd.exe"= c:\program files\SFR\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.0/255.255.255.0:Enabled:Serveur de partage Media Center (Player SFR)

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [11/12/2009 21:17 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/12/2009 23:07 108289]
R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [13/12/2006 20:49 1116544]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [13/12/2006 20:49 7808]
S3 ffSaffireLE_1394;ffSaffireLE_1394;c:\windows\system32\drivers\ffSaffireLE_1394.sys [09/03/2007 11:15 116736]
S3 ffSaffireLE_avs;ffSaffireLE_avs;c:\windows\system32\drivers\ffSaffireLE_avs.sys [09/03/2007 11:24 44544]
S3 ipswuio;ipswuio;c:\windows\system32\drivers\ipswuio.sys [13/12/2006 20:35 34944]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\program files\Lavasoft\Ad-Aware\AAWService.exe" --> c:\program files\Lavasoft\Ad-Aware\AAWService.exe [?]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-internet.fr/
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uInternet Settings,ProxyOverride = local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\lmlf8ru4.default\
FF - component: c:\documents and settings\Xavier\Application Data\Mozilla\Firefox\Profiles\lmlf8ru4.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPJPI150_11.dll
FF - plugin: c:\program files\Java\jre1.5.0_11\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ACMON - c:\program files\ASUS\Splendid\ACMON.exe
MSConfigStartUp-RemoteControl - c:\program files\ASUSTek\ASUSDVD\PDVDServ.exe
MSConfigStartUp-Skype - c:\program files\Skype\Phone\Skype.exe
AddRemove-ConfigurateurModem - c:\program files\Club-Internet\Assistance\uninstall.exe
AddRemove-IK Multimedia Amplitube v1.3 - c:\progra~1\IKMULT~1\AMPLIT~1\UNWISE.EXE
AddRemove-Waves Diamond Bundle 4.05 - c:\progra~1\WAVES\DIAMON~1\UNWISE.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-19 09:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xBAB9A662]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba90cfc3
\Driver\ACPI -> ACPI.sys @ 0xba77ecb8
\Driver\atapi -> atapi.sys @ 0xba7367b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582544
ParseProcedure -> ntkrnlpa.exe @ 0x80581684
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582544
ParseProcedure -> ntkrnlpa.exe @ 0x80581684
NDIS: Intel(R) PRO/Wireless 3945ABG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xba67bba0
PacketIndicateHandler -> NDIS.sys @ 0xba66aa0b
SendHandler -> NDIS.sys @ 0xba67eb31
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2244991500-3342482228-1983291485-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3656)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
.
**************************************************************************
.
Heure de fin: 2009-12-19 09:32:51 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-19 08:32

Avant-CF: 17 304 174 592 octets libres
Après-CF: 17 345 101 824 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - D13E7B679C692C7D0DAA9EDA17F39323
0
mcguffin > mcguffin
19 déc. 2009 à 11:23
je viens de mettre IE et Windows à jour.
Merci encore pour ton aide et ton temps.

J'attends de tes nouvelles, si nouvelles il doit y avoir
0
Réponse 12 / 18
Utilisateur anonyme
19 déc. 2009 à 14:41
Comment se comporte le pc ?

==> Refais un RSIT...tu n'auras que un rapport cette fois c'est normal !

a+


0
mcguffin
19 déc. 2009 à 16:23
Le pc a l'air de se comporter correctement. j'ai mis IE et Windows à jour. Antivir m'a découvert un virus tout à l'heure, mais c'était le virus détecté par combofix qui était en quarantaine.
Je te joins le log RSIT. j'espère qu'il est bon cette fois ;-)

Logfile of random's system information tool 1.06 (written by random/random)
Run by ....... at 2009-12-19 16:13:37
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 14 GB (24%) free of 56 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:51, on 19/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Xavier\Bureau\RSIT.exe
C:\Program Files\trend micro\Xavier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Unknown owner - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 13 / 18
Utilisateur anonyme
19 déc. 2009 à 17:48
Mets Adobe et java à jour:
https://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/14537.html
https://www.java.com/fr/download/

Vas dans C:\Program Files\trend micro\Xavier.exe et relances
hijack.
Choisis:Do a system scan onlyet fixes (coches)
les lignes suivantes:
TUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Appuies sur Fix checkedet redémarres le pc afin de valider les modifs....

==> Relances ToolsCleaner2 et colles moi le rapport.

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
https://www.tayo.fr/desactiver-restauration-systeme-sur-windows-xp-tutoriel.php


Si tout est OK:
---> Changes le statut de ce topic :
et mets le en "résolu"
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/


a+




0
mcguffin
20 déc. 2009 à 13:20
Salut,

J'ai bien suivi toutes tes instructions
Voici le rapport de Tcleaner

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
C:\Documents and Settings\Xavier\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Xavier\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Xavier\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !


Fichiers temporaires nettoyés !
Corbeille vidée!
---------------------------------
--> Suppression:
C:\Documents and Settings\Xavier\Bureau\OTM.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Documents and Settings\Xavier\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !


Par contre j'ai toujours le Kittyfix (combofix) qui reste sur mon bureau. Comment puis-je m'en débarrasser proprement ?

Merci encore
0
Réponse 14 / 18
Utilisateur anonyme
20 déc. 2009 à 13:53
Supprimes Combofix ainsi :

->Cliques sur " Démarrer "( ou combine la touche Windows + R ) -> " Executer " -> copie/colles cette ligne :

ComboFix /uninstall


-->Valides .

-------------------------

Ouvres ceci :
c:\documents and settings\Xavier\Bureau\KittyFix.exe
et supprimes KittyFix.exe


a+
0
mcguffin
20 déc. 2009 à 14:19
C'est fait !

Merci encore pour tes précieux conseils.
Grâce à mes c....ries, j'ai appris pas mal de choses sur la sécurité internet et pris conscience des risques à ne pas prendre.

Kenavo ;-)
0
mcguffin > mcguffin
21 déc. 2009 à 00:42
Salut,

Petit question que je me pose. Depuis que tu m'as pris en charge et aidé à me débarrasser du malware, je trouve que le démarrage de mon ordinateur est extrêmement lent. par exemple, les icones du bureau ne s'affiche pas directement. Est-ce normal, ou y-a-t-il u autre pb à fixer ?

Merci
0
Réponse 15 / 18
Utilisateur anonyme
21 déc. 2009 à 19:19
Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

a+
0
Réponse 16 / 18
mcguffin
21 déc. 2009 à 20:20
Voici le lien demandé pour le rapport de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj200912/cijg09ujpJ.txt

Alors, quoi de neuf, docteur ?
0
Réponse 17 / 18
Utilisateur anonyme
21 déc. 2009 à 20:50 
Alors, quoi de neuf, docteur ?


==> RSIT et Zhpdiag ne montrent plus rien de vraimenent "ANORMAL"
sur ton pc au niveau "INFECTIEUX", ni même au niveau au niveau des programmes de démarrage !!!!!!!!!!!

==> Dsl mais là....je ne peux plus grand chose pour toi !!!!!




PS: le mieux est l'ennemi du bien §

a+




0
Réponse 18 / 18
mcguffin
21 déc. 2009 à 22:15
Merci encore pour ton aide !
Je m'accommode très bien de ce démarrage. c'est juste étonnant, c'est tout...

A+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Livebox 4 Réseau Orange non détecté
Azfun -
brupala -

10 réponses
Livebox s'allume mais marque pas de réseau orange
Bebelle -
kaumune -

9 réponses
Cherche chanteur et titre chanson pub kinder noel 2023
Herme80 -
Domaldan -

17 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses