Plusieurs Trojan impossible à supprimer

Résolu
Utilisateur anonyme -  
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Plusieurs trojan impossible à supprimer rendent mon PC hyper lent, il est difficile de se connecter au Net.
J'ai des processus .exe qui tournent tout seul .?!?

Voici les deux cocos : TR/Dldr.Agent.cyab et TR/Agent.15360.11.

Mon antivirus ne peut les supprimer, voir même a du mal à s'ouvrir. Merci de m'aider, j'ai beau chercher,
j'ai plus d'autres moyens de désinfection que je connais.

Voici le log Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:22, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Documents and Settings\Nicolas\Mes documents\LOGICIELS PC\refroidisseur CPU\S2kCtl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail?kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [S2kCtl] C:\Documents and Settings\Nicolas\Mes documents\LOGICIELS PC\refroidisseur CPU\S2kCtl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sysgif32] C:\WINDOWS\TEMP\~TMC.tmp
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszyd32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O15 - Trusted Zone: https://www.orange.fr/portail
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: https://www.trendmicro.com/en_us/forHome/products/housecall.html
O15 - Trusted Zone: https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_1_0.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.0.15.0/ImageUploader5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

55 réponses

Précédent
Réponse 41 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

combo alors


Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 42 / 55
Utilisateur anonyme
 
Désolé du retard, et merci pour ta patience

Combofix n'a pas redémarré en fin de scan... ordinateur très lent pour se reconnecter.

Voici le rapport :

ComboFix 09-12-26.05 - Nicolas 28/12/2009 0:22.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.283 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nicolas\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-27 au 2009-12-27 ))))))))))))))))))))))))))))))))))))
.

2009-12-27 18:03 . 2009-12-27 18:03 -------- d-----w- c:\windows\system32\wbem\Repository
2009-12-27 16:19 . 2009-12-27 16:20 -------- d-----w- C:\rsit
2009-12-25 23:34 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2009-12-25 23:34 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-12-25 23:34 . 2009-07-14 00:15 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-12-25 23:34 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-12-25 23:34 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-12-25 23:34 . 2008-11-06 16:37 3596288 ----a-w- c:\windows\system32\qt-dx331.dll
2009-12-25 23:34 . 2009-07-14 00:15 685056 ----a-w- c:\windows\system32\divx.dll
2009-12-25 23:34 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-25 23:33 . 2009-12-25 23:34 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-23 19:10 . 2009-12-27 18:25 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-12-22 12:52 . 2009-12-27 23:28 714752 ----a-w- c:\windows\system32\drivers\dxnols.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-27 18:27 . 2005-12-04 12:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-27 18:03 . 2008-08-11 21:59 -------- d-----w- c:\program files\Trend Micro
2009-12-23 09:00 . 2008-12-29 13:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-23 08:56 . 2009-01-15 19:22 4844296 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-10 19:36 . 2009-07-14 11:28 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 04:31 . 2003-09-11 10:16 87240 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 04:31 . 2003-09-11 10:16 515118 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-03 15:14 . 2008-12-29 13:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-12-29 13:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-13 23:07 . 2009-07-14 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles
2009-11-13 20:31 . 2009-07-14 20:56 8 ----a-w- c:\windows\system32\nvModes.dat
2009-11-03 21:54 . 2009-03-29 11:29 -------- d-----w- c:\program files\Java
2009-11-03 21:03 . 2009-11-03 21:03 152576 ----a-w- c:\documents and settings\Nicolas\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:42 . 2004-08-23 18:35 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-19 23:09 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 23:09 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 06:00 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2003-09-11 10:15 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2003-09-11 10:15 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2003-09-11 10:15 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-01-13 21:19 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-07 20:27 . 2009-10-01 20:08 2011511 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-10-02 21:15 . 2009-10-01 20:08 483707 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-10-02 21:15 . 2009-10-01 20:08 479604 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-10-02 21:15 . 2009-10-01 20:08 364916 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-10-02 21:15 . 2009-10-01 20:08 393587 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aeemu.dll
1999-04-06 12:27 . 1999-04-06 12:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="irprops.cpl" [2008-04-14 380928]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 19968]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="NvMCTray.dll" [2008-05-03 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"S2kCtl"="c:\documents and settings\Nicolas\Mes documents\LOGICIELS PC\refroidisseur CPU\S2kCtl.exe" [2005-12-03 587776]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Brother XP spl Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

R1 Dev_UNIDRV;Dev_UNIDRV;c:\windows\system32\drivers\UNIDRV.SYS [23/08/2009 23:28 6080]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/07/2009 07:42 108289]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - dxnols
*Deregistered* - uxtdapow
.
------- Examen supplémentaire -------
.
uStart Page = www.orange.fr
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
Trusted Zone: secuser.com\www
Trusted Zone: trendmicro-europe.com\prerelease
Trusted Zone: trendmicro.com\housecall
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.0.15.0/ImageUploader5.cab
FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\eaxtq1o4.default\
FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 00:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dxnols]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-474918807-1608297940-2192490781-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(780)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-12-28 00:30:37
ComboFix-quarantined-files.txt 2009-12-27 23:30

Avant-CF: 74 155 048 960 octets libres
Après-CF: 74 116 874 240 octets libres

- - End Of File - - C3D41973B5065B8D33224C9A36E0E8FD
0
Réponse 43 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
vois si il est encore là...ce que je crains


c:\windows\system32\drivers\dxnols.sys­
0
Réponse 44 / 55
Utilisateur anonyme
 
Oui il est encore là,

et le fait de rentrer dans le répertoire c:\windows\system32\drivers, çà indique une date de dernière modification du fichier à l'heure ou je rentre dans le répertoire, c'est à dire 10 h 22, alors que je n'y touche pas au fichier, et pour tous les autres fichiers du même répertoire aucune date de modifiée.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
bon avant de le supprimer avec un script

retentes le scan en ligne comme ici

https://forums.commentcamarche.net/forum/affich-15806757-plusieurs-trojan-impossible-a-supprimer?page=2#31

et tiens moi au courant
0
Réponse 46 / 55
Utilisateur anonyme
 
Ok et merci

Retenté, mais sans succès, j'ai toujours le même message :

"0 bytes size received / Se ha recibido un archivo vacio" et pourtant le fichier fait bien 698 ko
0
Réponse 47 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
(redigé par gen hackman)

=>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=====| ---------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Driver::
dxnols
uxtdapow

Collect::[4]
c:\windows\system32\drivers\dxnols.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dxnols] ------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix !

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


0
Réponse 48 / 55
Utilisateur anonyme
 
Merci pour l'aide,

VOici le rapport :)



ComboFix 09-12-26.05 - Nicolas 28/12/2009 17:28:57.3.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.323 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nicolas\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Nicolas\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

file zipped: c:\windows\system32\drivers\dxnols.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\dxnols.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DXNOLS
-------\Legacy_UXTDAPOW
-------\Service_dxnols


((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-28 ))))))))))))))))))))))))))))))))))))
.

2009-12-27 18:03 . 2009-12-27 18:03 -------- d-----w- c:\windows\system32\wbem\Repository
2009-12-27 16:19 . 2009-12-27 16:20 -------- d-----w- C:\rsit
2009-12-25 23:34 . 2009-08-16 15:08 178176 ----a-w- c:\windows\system32\unrar.dll
2009-12-25 23:34 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-12-25 23:34 . 2009-07-14 00:15 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-12-25 23:34 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-12-25 23:34 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-12-25 23:34 . 2008-11-06 16:37 3596288 ----a-w- c:\windows\system32\qt-dx331.dll
2009-12-25 23:34 . 2009-07-14 00:15 685056 ----a-w- c:\windows\system32\divx.dll
2009-12-25 23:34 . 2009-12-11 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-12-25 23:33 . 2009-12-25 23:34 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-12-23 19:10 . 2009-12-27 18:25 -------- d-----r- c:\documents and settings\LocalService\Mes documents

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-27 18:27 . 2005-12-04 12:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-27 18:03 . 2008-08-11 21:59 -------- d-----w- c:\program files\Trend Micro
2009-12-23 09:00 . 2008-12-29 13:06 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-23 08:56 . 2009-01-15 19:22 4844296 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-10 19:36 . 2009-07-14 11:28 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-10 04:31 . 2003-09-11 10:16 87240 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-10 04:31 . 2003-09-11 10:16 515118 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-03 15:14 . 2008-12-29 13:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2008-12-29 13:06 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-13 23:07 . 2009-07-14 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\nView_Profiles
2009-11-13 20:31 . 2009-07-14 20:56 8 ----a-w- c:\windows\system32\nvModes.dat
2009-11-03 21:54 . 2009-03-29 11:29 -------- d-----w- c:\program files\Java
2009-11-03 21:03 . 2009-11-03 21:03 152576 ----a-w- c:\documents and settings\Nicolas\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-10-29 07:42 . 2004-08-23 18:35 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-19 23:09 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-19 23:09 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-04 06:00 265728 ------w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2003-09-11 10:15 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2003-09-11 10:15 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2003-09-11 10:15 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 03:17 . 2009-01-13 21:19 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-07 20:27 . 2009-10-01 20:08 2011511 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aeheur.dll
2009-10-02 21:15 . 2009-10-01 20:08 483707 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aescript.dll
2009-10-02 21:15 . 2009-10-01 20:08 479604 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aerdl.dll
2009-10-02 21:15 . 2009-10-01 20:08 364916 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aegen.dll
2009-10-02 21:15 . 2009-10-01 20:08 393587 ----a-w- c:\documents and settings\All Users\Application Data\Avira\AntiVir Desktop\FAILSAVE\aeemu.dll
1999-04-06 12:27 . 1999-04-06 12:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((( SnapShot@2009-12-27_23.28.04 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 16:36 . 2009-12-28 16:36 16384 c:\windows\temp\Perflib_Perfdata_414.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="irprops.cpl" [2008-04-14 380928]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 19968]
"SystrayORAHSS"="c:\program files\Orange\Systray\SystrayApp.exe" [2007-09-25 94208]
"ORAHSSSessionManager"="c:\program files\Orange\SessionManager\SessionManager.exe" [2007-09-25 102400]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"NvMediaCenter"="NvMCTray.dll" [2008-05-03 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"S2kCtl"="c:\documents and settings\Nicolas\Mes documents\LOGICIELS PC\refroidisseur CPU\S2kCtl.exe" [2005-12-03 587776]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:33 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Brother XP spl Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\NetMeeting\\conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=

R1 Dev_UNIDRV;Dev_UNIDRV;c:\windows\system32\drivers\UNIDRV.SYS [23/08/2009 23:28 6080]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/07/2009 07:42 108289]
.
------- Examen supplémentaire -------
.
uStart Page = www.orange.fr
mWindow Title =
uInternet Connection Wizard,ShellNext = iexplore
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
Trusted Zone: secuser.com\www
Trusted Zone: trendmicro-europe.com\prerelease
Trusted Zone: trendmicro.com\housecall
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://copainsdavant.linternaute.com/html_include_bibliotheque/objimageuploader/5.0.15.0/ImageUploader5.cab
FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\eaxtq1o4.default\
FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\components\rfproxy_31.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 17:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-474918807-1608297940-2192490781-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3916)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\rundll32.exe
c:\windows\Logi_MwX.Exe
c:\windows\system32\RunDLL32.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-12-28 17:41:07 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-28 16:41
ComboFix2.txt 2009-12-27 23:30

Avant-CF: 72 364 257 280 octets libres
Après-CF: 72 324 272 128 octets libres

- - End Of File - - CCE2250D4B6EA0F951B20903D3DD0AC9
0
Réponse 49 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok

apres ca tu ne devrai plus être ennuyée

refais un examen complet avec ton antivirus et nous saurons
0
Réponse 50 / 55
Utilisateur anonyme
 
Voici le rapport de l'antivirus, attente de vos instructions.



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 28 décembre 2009 18:19

La recherche porte sur 1478296 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PCTEK

Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 17:47:11
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:47:08
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:39:13
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 20:39:14
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 20:39:14
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 20:39:14
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 20:39:14
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 20:39:14
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 20:39:14
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 20:39:14
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 20:39:14
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 20:39:14
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 20:39:15
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 20:39:15
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 21:21:27
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 17:09:01
VBASE015.VDF : 7.10.1.178 195584 Bytes 07/12/2009 19:06:17
VBASE016.VDF : 7.10.1.224 183296 Bytes 14/12/2009 09:10:23
VBASE017.VDF : 7.10.1.247 182272 Bytes 15/12/2009 09:21:39
VBASE018.VDF : 7.10.2.30 198144 Bytes 21/12/2009 16:09:42
VBASE019.VDF : 7.10.2.63 187392 Bytes 24/12/2009 09:55:02
VBASE020.VDF : 7.10.2.64 2048 Bytes 24/12/2009 09:55:02
VBASE021.VDF : 7.10.2.65 2048 Bytes 24/12/2009 09:55:02
VBASE022.VDF : 7.10.2.66 2048 Bytes 24/12/2009 09:55:03
VBASE023.VDF : 7.10.2.67 2048 Bytes 24/12/2009 09:55:03
VBASE024.VDF : 7.10.2.68 2048 Bytes 24/12/2009 09:55:03
VBASE025.VDF : 7.10.2.69 2048 Bytes 24/12/2009 09:55:03
VBASE026.VDF : 7.10.2.70 2048 Bytes 24/12/2009 09:55:03
VBASE027.VDF : 7.10.2.71 2048 Bytes 24/12/2009 09:55:03
VBASE028.VDF : 7.10.2.72 2048 Bytes 24/12/2009 09:55:03
VBASE029.VDF : 7.10.2.73 2048 Bytes 24/12/2009 09:55:03
VBASE030.VDF : 7.10.2.74 2048 Bytes 24/12/2009 09:55:03
VBASE031.VDF : 7.10.2.77 73216 Bytes 28/12/2009 09:55:08
Version du moteur : 8.2.1.122
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 14:58:02
AESCRIPT.DLL : 8.1.3.4 586105 Bytes 23/12/2009 08:29:52
AESCN.DLL : 8.1.3.0 127348 Bytes 10/12/2009 19:36:37
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 17:47:11
AERDL.DLL : 8.1.3.4 479605 Bytes 01/12/2009 17:09:06
AEPACK.DLL : 8.2.0.3 422261 Bytes 06/11/2009 19:02:25
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 13:32:46
AEHEUR.DLL : 8.1.0.189 2195833 Bytes 23/12/2009 08:29:51
AEHELP.DLL : 8.1.9.0 237943 Bytes 17/12/2009 16:09:58
AEGEN.DLL : 8.1.1.82 369014 Bytes 23/12/2009 08:29:48
AEEMU.DLL : 8.1.1.0 393587 Bytes 02/10/2009 21:15:48
AECORE.DLL : 8.1.9.1 180598 Bytes 10/12/2009 19:36:36
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/09/2009 16:04:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 12:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 17:47:06

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : lundi 28 décembre 2009 18:19

La recherche d'objets cachés commence.
'56967' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTCOMModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OraConfigRecover.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CoreCom.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Deskboard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ConnectivityManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AlertModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'S2kCtl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SystrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LOGI_MWX.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SAgent2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'39' processus ont été contrôlés avec '39' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '58' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Qoobox\Quarantine\[4]-Submit_2009-12-28_17.28.50.zip
[0] Type d'archive: ZIP
--> dxnols.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\dxnols.sys.vir
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_dxnols_.sys.zip
[0] Type d'archive: ZIP
--> dxnols.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago
C:\System Volume Information\_restore{B78D1D31-2CA1-4E66-8944-E3083A71D95F}\RP5\A0000822.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago

Début de la désinfection :
C:\Qoobox\Quarantine\[4]-Submit_2009-12-28_17.28.50.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b95f427.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\dxnols.sys.vir
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ba6f46b.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\_dxnols_.sys.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb0f457.qua' !
C:\System Volume Information\_restore{B78D1D31-2CA1-4E66-8944-E3083A71D95F}\RP5\A0000822.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Agent.aago
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b68f423.qua' !


Fin de la recherche : lundi 28 décembre 2009 19:07
Temps nécessaire: 46:21 Minute(s)

La recherche a été effectuée intégralement

6075 Les répertoires ont été contrôlés
429775 Des fichiers ont été contrôlés
4 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
4 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
429769 Fichiers non infectés
7117 Les archives ont été contrôlées
2 Avertissements
6 Consignes
56967 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Réponse 51 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
ok tout va bien

mais il faut faire ceci

IMPORTANT
(y a des virus dedans)
purger la Restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

ensuite

Télécharge ToolsCleaner2sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).



0
Réponse 52 / 55
Utilisateur anonyme
 
MErci, voila le rapport.

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Nicolas\Bureau\ComboFix.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Nicolas\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !

Fichiers temporaires nettoyés !
Sauvegarde du registre crée !
Point de restauration crée !
0
Réponse 53 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
si c'est ok

tu peux mettre le topic en resolu
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/


Bonne continuation et surtout , prudence et bon surf :)

0
Réponse 54 / 55
Utilisateur anonyme
 
Merci à toi pou ton aide et bonnes fetes de fin d'année !! :))
0
Réponse 55 / 55
moment de grace Messages postés 29042 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
 
(sourire)
0