Trojan Spotted (Zbot) :pasnoeldutout: Fermé

Question

Saluations,
à quelques minutes de noël je me sens soudain mal dans ma peau et requiers votre aide.
Depuis quelques heures déjà je remarque que mon PC a des ratés.
(en fait depuis que j'ai chercher à regarder du streaming gratuit (suis-je bête)).

J'utilisais avast! (poua) et je viens de passer à MSE qui lui au moins a su me dire ce qui ne tournait pas rond.
Voilà le rapport dudit MSE
éléments détectés : PWS:WIN32/Zbot.gen!R   (niveau d'alerte grave) [sans blague]

Bref, n'étant pas un grand expert (mais je sais bricolay) jme lance dans quelques recherches avec mon ami google, mais rien sur la façon d'éradiquer ces cochoneries... il y a bien quelques infos par-ci par-là, mais rien de concret ou il serait marqué, en gras 72pouces italique rouge et clignotant, appuyez ici pour télécharger le freeware qui vous débarrassera de cette chose.
Alors je vous demande ici humblement.

le log hijackthis  : 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

BOBO ?

QUE FAIRE ? (prier en ce jour de nowel ? sera-ce suffisant ?)

config : xp-sp3
j'ai aussi DL GMER, lui il voit bien la nouille mais peut pas la delete :/

teory · Answer

J'ose le UP

kalimusic · Answer

Joyeux Noel !!

Télécharge  random's system information tool (RSIT)  (de Random/Random) sur le bureau.

    * Lance RSIT en double cliquant sur son icône
    * La fenêtre de Disclaimer apparait : clique sur "Continue" (laisse par défaut 1 month)
    * Si HijackThis n'est pas présent, pas à jour ou non détecté sur l'ordinateur, il sera téléchargé : Tu dois l'autoriser et accepter la licence.
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : log.txt (qui sera affiché) ainsi que de info.txt
    * Copie-colle les rapports dans ton prochain message 

Si les rapports ne s'ouvrent pas spontanément ils se trouvent dans le répertoire suivant : C:\rsit\

A +

teory · Answer

Merci de ta réponse kalimusic,


voilà le LOG

Logfile of random's system information tool 1.06 (written by random/random)
Run by utilisateur at 2009-12-25 00:14:10
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 41 GB (17%) free of 238 GB
Total RAM: 2047 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:14:14, on 25/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\program files\steam\steam.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\utilisateur\Bureau\RSIT.exe
C:\Documents and Settings\utilisateur\Bureau\utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://troner.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll

kalimusic · Answer

re

dans la partie du log de HickjackThis, il manque semble t-il les lignes 023 ? Peux -tu poster l'intégralité du log.txt ?
Utilise si besoin : http://cijoint.fr/

Je commence mais je sais pas quand je pourrais reprendre le sujet c'est noël et ton PC est bien infecté, mais ne t-inquiètes pas je laisse pas tomber 

1. Essaie de désinstaller via Ajout/Suppression de programmes "Daemon Toolbar"


2. Télécharge AD-Remover (CC_X) sur le bureau et installe le dans le répertoire suivant C:\Program Files\Ad-remover

* Double clique sur l'icône Ad-Remover du bureau, clique sur "Oui" dans la boite de dialogue
* Au menu principal choisi l'option "L (Lancer le nettoyage )" puis Entrée
* Patiente le temps du scan (le bureau peut disparaitre), appuie sur n'importe quelle touche quand l'outil te le demandera.

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvrent pas spontanément il est ici C:\Ad-report(date).log

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
Le mieux est de désactiver temporairement MSE 

3. Télécharge ToolBarS&D (Team IDN) et lance l'installation en double-cliquant sur son icône
lien : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
* Une fois installé, un raccourci sera crée sur le bureau.
* Double-clique sur le raccouci sous XP
* Clique sur F puis Entrée pour la langue
* Tape 1 puis valide sur Entrée pour lancer la recherche

! ! Pendant la recherche l'écran devient rouge !!

=> Patiente jusqu'à la fin de la recherche cela peut prendre plusieurs minutes, ne touche à rien.

* A la fin, Le rapport s'ouvre au format bloc-note
* Enregistre-le, copie-colle ce rapport dans la réponse

Le rapport se trouve également dans ce répertoire : C:\TB.txt 



A +

teory · Answer

re,

Ok deamontoolbar est désinstallé ! 
Sinon pas de ligne après 020 sur hijackthis
voilà le rapport complet de celui-ci, 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:14:14, on 25/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\program files\steam\steam.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\utilisateur\Bureau\RSIT.exe
C:\Documents and Settings\utilisateur\Bureau\utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://troner.net/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll

teory · Answer

Je me permet un up avant d'aller dodo, au cas ou quelqu'un d'insomniaque peut m'aider :)
encore bonne fêtes et bonne nuit

kalimusic · Answer

Joyeux Noël

(olala tous les cracks XD)
chuuut it's a secret ! 

Ceci n'est pas négociable, je ne continue pas si tu ne les supprimes pas.
pas pour la morale, mais pour la réussite  de la désinfection. 

https://forum.malekal.com/viewtopic.php?f=33&t=893

La preuve c'est que tu n'as plus de services 023 dans le système !

Pas besoin de up, je laisse pas tomber un sujet mais là c'est noël ;-)
Je prépare la suite en attendant...

A +

kalimusic · Answer

.

teory · Answer

bonjour ! 
Merci beaucoup ! 
C'est supprimé ! 
J'attends tes instructions ^^ 
bonne journée et joyeux noel !

kalimusic · Answer

Bonsoir

Ok on continue :

    * Télécharge et installe UsbFix (de C_XX & Chiquitine29) sur le Bureau
    * ! ! Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir !!
    * Double clique sur l'icône UsbFix présent sur le bureau
    * Choisis l'option 1 "Recherche"
    * Le rapport doit s'ouvrir spontanément sur le Bureau
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\USBfix.txt


"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus
Le mieux est de désactiver temporairement ton anti-virus MSE


A +

teory · Answer

Hello, 
je n'ai pas de disque amovibles, j'ai dl et exécuté usbfix en ayant désactivé MSE
voila le rapport


############################## | UsbFix V6.067 |

User : utilisateur (Administrateurs) # UTILISAT-4A55EE
Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:40:58 | 26/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : Microsoft Security Essentials 2.0.6212.0 [ Enabled | Updated ]
FW : ActiveArmor Firewall[ (!) Disabled ]1.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 232,88 Go (42,83 Go free) [Disque local] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 600
C:\WINDOWS\system32\csrss.exe 648
C:\WINDOWS\system32\winlogon.exe 676
C:\WINDOWS\system32\services.exe 732
C:\WINDOWS\system32\lsass.exe 744
C:\WINDOWS\system32\svchost.exe 912
C:\WINDOWS\system32\svchost.exe 1024
C:\WINDOWS\system32\svchost.exe 1124
C:\WINDOWS\system32\svchost.exe 1292
C:\WINDOWS\system32\svchost.exe 1392
C:\WINDOWS\Explorer.EXE 1572
C:\WINDOWS\system32\wuauclt.exe 1876
C:\Program Files\SFR\Kit\WiFi\9wifi.exe 336
C:\program files\steam\steam.exe 404
C:\WINDOWS\RaUI.exe 472
C:\WINDOWS\System32\svchost.exe 1864
C:\Program Files\Internet Explorer\IEXPLORE.EXE 2652
C:\Program Files\Mozilla Firefox\firefox.exe 2992
C:\WINDOWS\system32	askmgr.exe 3892
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 1616
C:\WINDOWS\system32\wbem\wmiprvse.exe 1944

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{49d80625-735c-11dd-acfd-001a92ce68ec}
Shell\AutoRun\command =J:\AutoTransfer.exe 

HKCU\..\..\Explorer\MountPoints2\{8b0a99f8-e329-11dd-ad2f-001a92ce68ec}
Shell\AutoRun\command =wdsync.exe 

HKCU\..\..\Explorer\MountPoints2\{cf3ef0e4-2979-11dc-abc5-001a92ce68ec}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | Cracks / Keygens / Serials |

"C:\Program Files\overlord\CRACK\Overlord.exe"  
22/06/2007 00:37 |Size 5808128 |Crc32 f929abb6 |Md5 d6a2873609a595f1d7437b4b37a8c6f1  
 
"C:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno1404_Crack.exe"  
05/07/2009 17:49 |Size 5911 |Crc32 5b8777a0 |Md5 f22f3d5013eb3d781da1a7caa84ee8ef  
 

################## | ! Fin du rapport # UsbFix V6.067 ! |

kalimusic · Answer

Bonjour,

################## | Cracks / Keygens / Serials | 

"C:\Program Files\overlord\CRACK\Overlord.exe"
22/06/2007 00:37 |Size 5808128 |Crc32 f929abb6 |Md5 d6a2873609a595f1d7437b4b37a8c6f1

"C:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno1404_Crack.exe"
05/07/2009 17:49 |Size 5911 |Crc32 5b8777a0 |Md5 f22f3d5013eb3d781da1a7caa84ee8ef 


grrrrrrr !!!!

******

j'ai dl et exécuté usbfix en ayant désactivé MSE 

Bizarre le rapport dit le contraire : AV : Microsoft Security Essentials 2.0.6212.0 [ Enabled | Updated ] 
Pour ne pas gêner l'étape suivante, la suppression, c'est essentiel de le désactiver.

******

Ferme toutes tes applications en cours
!! Désactive la protection résidente de ton anti-virus !!

pour t'aider : http://social.answers.microsoft.com/Forums/fr-CA/msestartfr/thread/12fa684e-8907-4f23-8750-1533dbdec5e3

    * Relance USBfix en choisissant maintenant l'option 2 "suppression"
    * Le bureau va disparaître et le système va redémarrer
    * Au redémarrage, USBFix scanne ton pc, laisse travailler l’outil.
    * Le rapport doit s'ouvrir spontanément sur le Bureau
    * Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\USBfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


A +

teory · Answer

Ok je vais faire ça ;-) en ayant bien désactivé MSE comme indiqué + suppression des processus ;-)

teory · Answer

Voila ledit rapport 


############################## | UsbFix V6.067 |

User : utilisateur (Administrateurs) # UTILISAT-4A55EE
Update on 24/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 13:58:07 | 26/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : Microsoft Security Essentials 2.0.6212.0 [ (!) Disabled | Updated ]
FW : ActiveArmor Firewall[ (!) Disabled ]1.0

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 232,88 Go (42,73 Go free) [Disque local] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 600
C:\WINDOWS\system32\csrss.exe 656
C:\WINDOWS\system32\winlogon.exe 684
C:\WINDOWS\system32\services.exe 740
C:\WINDOWS\system32\lsass.exe 752
C:\WINDOWS\system32\svchost.exe 916
C:\WINDOWS\system32\logonui.exe 924
C:\WINDOWS\system32\svchost.exe 1032
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 1076
C:\Program Files\Internet Explorer\IEXPLORE.EXE 1124
C:\WINDOWS\system32\svchost.exe 1148
C:\WINDOWS\system32\svchost.exe 1348
C:\WINDOWS\system32\svchost.exe 1392
C:\WINDOWS\Explorer.EXE 1616
C:\WINDOWS\system32\wuauclt.exe 1860
C:\WINDOWS\system32\wbem\wmiprvse.exe 392

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1409082233-515967899-839522115-1004 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{49d80625-735c-11dd-acfd-001a92ce68ec}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{8b0a99f8-e329-11dd-ad2f-001a92ce68ec}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{cf3ef0e4-2979-11dc-abc5-001a92ce68ec}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[03/07/2007 02:49|--a------|0] C:\AUTOEXEC.BAT 
[24/12/2009 23:16|-r-hs----|228] C:\boot.ini 
[02/03/2006 13:00|-rahs----|4952] C:\Bootfont.bin 
[03/07/2007 02:49|--a------|0] C:\CONFIG.SYS 
[08/11/2009 20:06|--a------|35309] C:\DxDiag.txt 
[03/07/2007 02:49|-rahs----|0] C:\IO.SYS 
[02/11/2007 09:15|--a------|107] C:\main.c 
[03/07/2007 02:49|-rahs----|0] C:\MSDOS.SYS 
[02/03/2006 13:00|-rahs----|47564] C:\NTDETECT.COM 
[26/10/2008 17:35|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[09/09/2009 02:22|--ahs----|5120] C:\Thumbs.db 
[26/12/2009 14:05|--a------|2648] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  

################## | Cracks / Keygens / Serials |

"C:\Program Files\overlord\CRACK\Overlord.exe"  
22/06/2007 00:37 |Size 5808128 |Crc32 f929abb6 |Md5 d6a2873609a595f1d7437b4b37a8c6f1  
 
"C:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno1404_Crack.exe"  
05/07/2009 17:49 |Size 5911 |Crc32 5b8777a0 |Md5 f22f3d5013eb3d781da1a7caa84ee8ef  
 

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\UTILIS~1\Bureau\UsbFix_Upload_Me_UTILISAT-4A55EE.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.067 ! |

merci :)

teory · Answer

Au fait, mon trojan est-il supprimé ?
j'ai toujours iexplore.exe en processus actif alors que je n'utilise pas EI ...

tompie95 · Answer

Bonjour teory 
Avec la permission de Kalimusic.
Non ton trojan et bien d'autres ne sont pas supprimé
Tant que tu n'auras pas supprimer ceci du pc 
 | Cracks / Keygens / Serials | 
"C:\Program Files\overlord\CRACK\Overlord.exe" 
"C:\Program Files\Ubisoft\Related Designs\ANNO 1404\Anno1404_Crack.exe" 
******************************

Ensuite : 
Télécharge Ccleaner Slim sur ton Bureau.
https://www.ccleaner.com/ccleaner/download
Clique sur "download the latest version"

Installe-le en laissant seulement les options suivantes cochées :
- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

Lance le Nettoyage

Clique sur nettoyeur et analyser et supprimer ce qu'il trouve.(le faire plusieurs fois).
•Même chose clique sur registre et recherche d'erreurs et sur corriger les erreurs .
******************************************
Et aussi :
Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
•Tu l'installes. Choisis les options par défaut. •A la fin de l'installation
il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter . Accepte.

•Après la mise à jour
le logiciel va s'ouvrir.

•Dans l'onglet Recherche
sélectionne Exécuter un examen complet.
•Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. Clique sur lancer l'examen.
•A la fin de la recherche
comme il est demandé
clique sur afficher les résultats.
•Si des infections sont trouvées
clique sur Supprimer la sélection.
Note : Dans certains cas
le logiciel demande de redémarrer l'ordinateur pour supprimer les fichiers. Accepte.

Tu postes le rapport dans ton prochain message .
Si tu ne retrouves pas le rapport
ouvre MalwareBytes et regarde dans l'onglet Rapport/logs . Il y est. Clique dessus et choisir ouvrir.
**************************************
Losque tu auras fini ceci d'autres procédure serons a faire car tu as de multiples infections du a tes cracks
@+

kalimusic · Answer

Salut teory et tompie95

teory en mon absence, tu peux suivre les indications de tompie95 qui suit le sujet à ma demande.

Au fait, mon trojan est-il supprimé ?
j'ai toujours iexplore.exe en processus actif alors que je n'utilise pas EI ...

Tu n'avais pas malheureusement qu'un trojan, tu était infecté par de multiples sources :
logiciels piégés (eorezo.......)
Toolbar néfastes (daemon..)
adwares (shopping report........)
USB (AdobeR.exe.......)
sans parler des cracks................grrrrrr !

J'ai commencé par le plus simple, la procédure est loin d'être terminée...

Bonne soirée

teory · Answer

Bonjour !
Merci a vous je m'y met de suite ;-) 
Je post les rapport d'ici quelques minutes !

teory · Answer

je posterai ça demain en fait ^^ ça va être long x)

teory · Answer

Bonjour, voilà le rapport !

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3438
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

28/12/2009 15:18:48
mbam-log-2009-12-28 (15-18-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 223107
Temps écoulé: 1 hour(s), 3 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.ShopperReports) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.


j'ai redémarré, que faire maintenant ? =)
bonne journée !

kalimusic · Answer

Bonjour,

1.  Est-ce que c'est  toi qui dans MSconfig a mis le PC en démarrage sélectif ou diagnostic ? 
Remet le en démarrage normal, on verra ensuite pour enlever les services superflus.
==>  http://img710.imageshack.us/img710/394/20091227011540.png


2. Essaye de supprimer si possible ShoppingReport via Panneau de configuration - Ajout/Suppression de Programmes, sinon directement dans ce répertoire : C:\Program Files\ShopperReports


3. On doit vérifier un fichier de ton PC 

D'abord nous devons afficher les fichiers cachés
Dans le Menu Démarrer de la barre des taches
    * Clique sur Rechercher
Dans la fenêtre qui s'ouvre, va dans le menu déroulant Outils puis choisit Options des dossiers
Dans la boîte de dialogue, Sélectionne l'onglet Affichage
    * Coche Afficher les fichiers et dossiers cachés
Clique maintenant sur le bouton Appliquer puis OK
Ensuite rends toi sur le site Virus Total
    * Clique sur la case "Parcourir"
Une fenêtre s'ouvre te permettant de naviguer sur le disque dur
    * Parcoure l'arborescence C:\WINDOWS\System32\drivers\ pour sélectionner azhhpg75.sys
    * Sélectionne le en cliquant dessus puis clique sur "ouvrir" en bas de la fenêtre qui va se fermer
    * Clique maintenant puis sur le bouton "Envoyer le fichier"
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Le fichier est mis en attente puis le scan débute => sauvegarde le résultat
Copie-Colle l'intégralité des résultats dans la réponse.


4. Supprime le dossier rsit dans le répertoire suivant : C:\rsit
puis relance HijackThis

    * Dans la fenêtre principale "Main Menu" clique sur le bouton "None of the above, just start the program"
    * Clique sur le bouton Scan dans le sous-menu Scan & fix stuff
    * Après le balayage, coche les cases des lignes indiquées si toujours présentes : 

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system3­2\sdra64.exe, 
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing) 
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll (file missing) 
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) 
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) 
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll 


    * Clique ensuite sur le bouton Fix checked dans le sous-menu Scan & fix stuff
    * Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression. 

5. Refait la procédure de diagnostic comme au début :

https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout#2


*****

A +

teory · Answer

Ok je fais ça en rentrant, 
sinon oui j'ai modifié mon msconfig et j'avais déjà activé l'option pour voir mes fichiers cachés ^^
a toute :)

teory · Answer

salut salut, 
Alors 
1/ c'est fait
2/ ce programme/dossier n'existe pas
3/ ce fichier n'existe pas !
4/

F2 - REG:system.ini: => inexistant 
O2 - BHO: ShoppingReport => idem
O2 - BHO: (no name) => suprimé
O2 - BHO: EoRezoBHO => inexistant
O3 - Toolbar: DAEMON => idem
O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus...
04 CTFMON (les 4) => supprimés
O9 - Extra button (les 2) => inexistants
O20 - Winlogon Notify => idem

voilà je relance rsit et hijackthis des maintenant

teory · Answer

re, voila

Voici le log suivit du fichier info

Logfile of random's system information tool 1.06 (written by random/random)
Run by utilisateur at 2009-12-29 15:49:09
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 44 GB (18%) free of 238 GB
Total RAM: 2047 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:12, on 29/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\program files\steam\steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\utilisateur\Bureau\vir\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\utilisateur\Bureau\vir\utilisateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMax] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON\daemon.exe" -autorun
O4 - HKCU\..\Run: [CurseClient] C:\Program Files\Curse\CurseClient.exe -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C:\Program Files\Hamachi\hamachi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

kalimusic · Answer

Salut

je regarde les rapports et je te réponds ce soir mais 2 trucs :

Pourquoi as tu installer A-Squared ??? à part les cookies et les faux positifs, et prendre de l'espace en mémoire : aucune utilité !

O4 - HKCU\..\Run: [Steam] => pas supprimé, steam n'est pas un virus... 

Tu croyais pas m'apprendre quelque chose au moins ! 
Alors moi je t'apprends quelque chose CTFMON non plus
les lignes fixés en 04 ne supprime pas l'application ni le fichier, simplement l'application ne démarre plus avec Windows c'est tout.

OK à tout à l'heure

teory · Answer

Ahah :)
Mais je veux que steam se lance moi x] 
J'ai installé a-squadred car il marche bien contre les trojans, je pense qu'il m'en a supprimé ^^
Mais jvais le désinstaller bientôt je crois ^^

En tout cas merci a tal'heure

kalimusic · Answer

re

Tu installes les logiciels que tu veux, tu es libre pas de soucis, mais tu attends la fin de la procédure.
==> poste moi le rapport asquared qui t'as enlever des trojans stp
Tu as 19 logiciels qui se lancent au démarrage c'est ton droit, pas de soucis non plus.

Ton disque dur est trop plein, pas plus sinon  cela va te causer des ralentissements 
==> System drive C: has 44 GB (18%) free of 238 GB 

Je reviens tout à l'heure pour la suite car il reste des éléments néfastes.

A+

kalimusic · Answer

Bonsoir

en plus du rapport de scan demandé, il faut que tu analyses ce fichier sur virus total : ajia1z8u.sys  en suivant la même manip' qu'au message 21 paragraphe 3. stp
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#21

A +

teory · Answer

ok, on verra pour le msconfig après alors ^^
he lance ça, mais au fait le message numéro 24 j'avais oublié de redémarré, je repost le bon ?

rapport a-squared :
quarantaine : 
trace.TrakingCookie (x2)
virus.Win32.Trojan!IK

le fichier ajia machin .sys n'existe pas

kalimusic · Answer

Bonjour

Dommage que le rapport ne donne pas la localisation car on ne sait pas si c'est un élément en quarantaine ou pas, pareils pour les 2 fichiers ajia1z8u.sys et azhhpg75.sys tu es sûr d'avoir affiché les dossiers et les fichiers cachés ??

Fait un scan en ligne ESET avec IE : https://www.eset.com/int/home/online-scanner/
aide en images = http://www.bibou0007.com/scans-en-ligne-f75/tutorial-eset-on-line-scanner-t3691.htm­
Poste le rapport qui se trouve ici: C:\Program Files\EsetOnlineScanner\log.txt 

A +

teory · Answer

Salut ! 
Voilà le rapport d'Eset

C:\Program Files\Ad-Remover\Process.com	Win32/PrcView application	cleaned by deleting - quarantined
C:\Program Files\Ad-Remover\BACKUP\AD-R.exe	Win32/PrcView application	deleted - quarantined
C:\UsbFix\Tools\Kill_P.exe	Win32/PrcView application	cleaned by deleting - quarantined
C:\WINDOWS\TEMP
xei.tmp\svchost.exe	a variant of Win32/Kryptik.BIN trojan	cleaned by deleting - quarantined


Bonne journée et bonne fête

kalimusic · Answer

Salut

Bon c'est OK, ESET n'a détecté que la quarantaine de certain outils utilisés, mais pourquoi tu n'as pas posté l'intégralité du rapport ?

Télécharge OTM (de Old_Timer) sur le bureau, lien = http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    * Lance l'outil en faisant un double clic sur l'icône OTM
Une fenêtre s'ouvre :
    * Copie la liste en citation ci-dessous et colle-la dans le cadre "Paste instructions for Items to be Moved"


      :Reg
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\azhhpg75] 
      [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ajia1z8u]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- 


      :Files
      C:\WINDOWS\System32\drivers\azhhpg75.sys
      C:\WINDOWS\System32\drivers\ajia1z8u.sys 

      :Commands
      [purity]
      [emptytemp]


    * Clique sur MoveIt ! pour lancer la suppression
    * A la fin du processus le PC va redémarrer
    * Poste le rapport dans qui se trouve dans le répertoire suivant C:\_OTMoveIt\MovedFile


Passe de bonnes fêtes aussi, A +

kalimusic · Answer

Re, Ok super comment va le PC maintenant ?

Si OK on désinstalle les outils :

Télécharge Tools Cleaner (par A.Rothstein & dj QUIOU) sur le bureau et lance le
    * Clique sur Recherche et laisse le scan se terminer
    * Clique ensuite sur Suppression
    * Clique sur Quitter, pour que le rapport puisse se créer
    * Poste le dans ton prochain message 
Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)

Surtout suis bien la procédure jusqu'au bout, on va finir le nettoyage et mettre à jour le système. Je te donnerai quelques conseils pour surfer plus sereinement à l'avenir.


A +

teory · Answer

Salut salut !

BONNE ANNEE !!!

Voila le rapport ToolsCleaner :)


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: trouvé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: trouvé !
C:\Program Files\Ad-remover: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\utilisateur\Bureau\vir\Gmer.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\HijackThis.exe: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\ToolBarSD.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\hijackthis.log: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\TB.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix.txt: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit.exe: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Toolbar SD: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\UsbFix: supprimé !
C:\Documents and Settings\utilisateur\Bureau\vir\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

kalimusic · Answer

Bonne Année !!

Tu ne m'as pas dit comment aller le PC ? C'est que tout va bien, on continue...
Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine.


1. Supprime les anciens points de restauration :  

Clique sur le Poste de travail, puis fait un clic droit sur le disque dur principal (en général C:/)
    * Clique sur Propriétés
Dans la fenêtre qui s'ouvre dans l'onglet général
    * Clique sur Nettoyage de disque
Une boîte de dialogue te demande de patienter le temps du calcul, une nouvelle fenêtre va s'ouvrir.
    * Choisit le 2ème onglet Autres options puis l'item Restauration du système
    * Valide la boîte de dialogue qui s'affiche en cliquant sur Oui
    * Ferme ensuite la fenêtre Nettoyage de disque en cliquant sur OK 

2. Nettoyage du registre 

https://www.commentcamarche.net/telecharger/utilitaires/19203-regseeker/
tuto : http://www.6ma.fr/tuto/regseeker-nettoyer-la-base-de-registre/

3. Les logiciels de sécurité

Tu peux garder Malwarebytes qui est un excellent logiciel anti-malware et t'en servir régulièrement pour un scan rapide sur ton PC sans oublier de le mettre à jour. 
Tu peux réactiver aussi ton Fire-wall. 

4. Mises à jour

Mise à jour de Java

Télécharge JRE 6 Update 17 ici : https://www.java.com/fr/download/  et installe le, normalement maintenant il supprimera les anciennes versions présentes si nécessaires sinon tu peux le faire via Ajout/Suppression de Programme

Mise à jour des logiciels présents sur ta machine

Vérifie si tes logiciels sont à jour sur Sécunia : https://www.flexera.com/products/operations/software-vulnerability-management.html

    * Clique sur Start Scanner
    * Une fois "Java applet" chargé, coche :
      Enable thorough system inspection
      Display only insecure programs
    * Clique sur Start


Patiente le scan peut être long ! Le résultat t'indiquera les logiciels à mettre à jour ainsi que les liens pour le faire. Les fois suivantes tu pourras juste faire Display only insecure programs pour te maintenir à jour.

**************************

      Quelques règles simples :

    * La multiplication des protections est une source de conflit et n'est pas plus efficace pour la sécurité :
      1 seul anti-virus à jour, 1 seul pare-feu à jour, 1 seul anti-spyware (une préférence pour MBAM) 
    * Ne pas surfer en droits administrateurs
    * Tenir Windows et les autre logiciels sensibles à jour : Anti-Virus, Java, Adobe, etc..
    * Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant.
    * Éviter les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)
    * Ne pas cliquer aveuglement sur des liens contenus dans les messages inconnus ou suspects (E-mails, messageries instantanées, réseaux sociaux...)
    * Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT) SECURISER FIREFOX EN 12 POINTS (par OGU) : http://www.libellules.ch/securiser_firefox_1.php


Je t'invite à lire ces différents articles, afin de surfer plus sereinement :

Prévention & Protection : http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection

Les idées reçues en sécurité logicielle : http://www.libellules.ch/idees_recues_securite.php

LES RISQUES SÉCURITAIRES DU PEER-TO-PEER (par OGU) : http://www.libellules.ch/...

le P2P et ses conséquences !!! (par tesgaz) : http://forum.pitcatsite.fr/viewtopic.php?f=3&t=28

Pourquoi et comment je me fais infecter ? (par Malekal) : https://forum.malekal.com/viewtopic.php?t=3259&start=

**************************
 
Je te renouvelle mes vœux pour la nouvelle année, n'oublies pas de me faire part d'éventuelles difficultés dans les dernières étapes.
Si tout se passe bien clique ensuite sur résolu, merci.

teory · Answer

Hello ! 
Désolé pour l'attente ! J'ai pas eu accès a mon pc :/ >_<
bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également ;-)
Sinon j'ai encore un doute...
J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??!
Merci pour ton aide en tous cas et encore désolé pour l'attente !
Jte souhaite une excellente année !

kalimusic · Answer

Bonsoir teory et merci pour les voeux

bref, tout va mieux, j'ai suivit les 4 points que tu m'as donné et lu les divers articles également 

:-)

J'ai remis mon MSconfig perso et j'ai toujours une application iexplore.exe a environ 3k d'utilisation mémoire... Qu'es ce que c'est ??! 

Comme déjà expliqué au début du message 36 :

Pour la question sur MsConfig , ton PC doit démarrer normalement et pas en mode sélectif ou diagnostic, s'il est trop lent au démarrage, c'est à cause du nombre d'applications qui se lancent en même temps que Windows. Ensuite ton disque dur est presque à la limite, comme tu as une seule partition cela peut ralentir Windows. En tout cas au niveau RAM 2 Go c'est largement OK pour XP, et le nombre de services est normal par rapport au système.
Tu peux poster dans le forum approprié pour essayer d'optimiser ta machine. 

Je pense que c'était assez clair, on peut arrêter certains services et en mettre d'autres en manuel pour optimiser. Mais pas en désactivant tout et pas de cette manière car tu désactives entre autre le service de l'anti-virus et du pare-feu.
le 29 décembre en fin de désinfection, IEXPLORER.exe n'apparait plus dans Running Processes , le rapport rsit ne montre plus d'infection visible et le scan ESET ne trouve que des éléments néfastes dans les quarantaines des outils de désinfection utilisés :
https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout?page=2#24

Poste un nouveau rapport log.txt de rsit en prenant soin de fermer toutes les applications en cours.

A +

teory · Answer

ça l'air réglé en fait j'ai rien dit ! 
Merci de toute ton aide apporté ! 

Bonne soirée !

kalimusic · Answer

Bonsoir

lu, bon surf et bonne soirée !

teory · Answer

AIE AIE AIE
En fait non ! 
Mse me disais depuis hier soir de faire une analyse rapide, et j'ai attendu jusqu'a maitenant, car je viens d'effectuer un scan et voilà le rapport ...

Elément détécté : TrojanProxy:Win32/Sebfov.B 

Microsoft Security Essentials a rencontré l'erreur suivante : Code d'erreur 0x80070020. Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. 

Catégorie : Cheval de Troie proxy

Description : Ce programme est dangereux. Il agit en tant que serveur proxy.

Recommandation : Supprimer immédiatement ce logiciel.

Éléments : 
file:C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg
winlognotif:HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\NOTIFY\cbssreg



On est repartit :( :cry:

kalimusic · Answer

Salut,

    * Lance Malwarebytes' Anti-Malware et effectue la mise à jour
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen rapide" puis sur le bouton "Rechercher"
A la fin de l'analyse, si MBAM n'a rien trouvé :
    * Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression, copie/colle le rapport dans le prochain message. 

Relance l'outil de diagnostic rsit, fait le scan en prenant soin de fermer toutes les applications en cours.
Poste les nouveaux rapports log.txt et info.txt

Les indications pour rsit ici : https://forums.commentcamarche.net/forum/affich-15820974-trojan-spotted-zbot-pasnoeldutout#2

A +

teory · Answer

Hello kalimusic =)
Et merci d'encore m'aider ^^


Voila le rapport Mbam

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3438
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

14/01/2010 15:54:52
mbam-log-2010-01-14 (15-54-52).txt

Type de recherche: Examen rapide
Eléments examinés: 110484
Temps écoulé: 5 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.



Puis RSIT, info
info.txt logfile of random's system information tool 1.06 2010-01-14 16:11:17

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
-->MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1.3 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Age of Empires III - The Asian Dynasties-->C:\Program Files\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\setup.exe -runfromtemp -l0x0409
Age of Empires III - The WarChiefs-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{1C08A24C-B168-407E-A826-68FAF5F20710} 
Age of Empires III-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{7B9CC60A-9B81-46A3-A953-76B6BF9EEC97} 
ANNO 1404-->"C:\Program Files\InstallShield Installation Information\{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}\Setup.exe" -runfromtemp -l0x040c -removeonly
Apple Application Support-->MsiExec.exe /I{0C34B801-6AEC-4667-B053-03A67E2D0415}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x040c -removeonly
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Battlefield Heroes-->"C:\Program Files\EA Games\Battlefield Heroes\uninstaller.exe" "C:\Program Files\EA Games\Battlefield Heroes\Uninstall.xml"
Black & White® 2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D9E52CD1-9DF1-4A8A-9BDC-1E5E53982F2B}\setup.exe" -l0x40c  -removeonly
Call of Duty Modern Warfare 2-->"C:\Program Files\COD Modern Warfare 2\unins000.exe"
Command & Conquer 3-->MsiExec.exe /I{DDEDAF6C-488E-4CDA-8276-1CCF5F3C5C32}
Command & Conquer Generals-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{06F80017-8F98-4C94-B868-52358569FC32} 
Correctif pour Lecteur Windows Media 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB976098-v2)-->"C:\WINDOWS\$NtUninstallKB976098-v2$\spuninst\spuninst.exe"
Curse Client-->C:\Program Files\Curse\uninstall.exe
Day of Defeat: Source Beta-->"C:\Program Files\Steam\steam.exe" steam://uninstall/302
Day of Defeat: Source-->"C:\Program Files\Steam\steam.exe" steam://uninstall/300
dBpoweramp Music Converter-->"C:\WINDOWS\system32\SpoonUninstall.exe" <uninstall>C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat
eMule-->"C:\Program Files\eMule\Uninstall.exe"
Enemy Territory - QUAKE Wars(TM) 1.1 Patch-->C:\Program Files\InstallShield Installation Information\{0C5D0DC4-F5D3-46F9-AE2E-E45C99B4A6B6}\setup.exe -runfromtemp -l0x0409
Enemy Territory - QUAKE Wars(TM) 1.4 Patch-->C:\Program Files\InstallShield Installation Information\{BCA71D05-6BC9-4735-BA3F-7218EBE6A023}\setup.exe -runfromtemp -l0x040c
Garry's Mod-->"C:\Program Files\Steam\steam.exe" steam://uninstall/4000
Half-Life 2: Episode Two-->"C:\Program Files\Steam\steam.exe" steam://uninstall/420
Half-Life(R) 2-->MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
High Definition Audio Driver Package - KB888111-->C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Left 4 Dead-->"C:\Program Files\Steam\steam.exe" steam://uninstall/500
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{72AD53CC-CCC0-3757-8480-9EE176866A7C}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 French Language Pack-->MsiExec.exe /X{E3C080B0-23F5-49AF-89F8-8E8DBC89E659}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{0BD83598-C2EF-3343-847B-7D2E84599128}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Age of Empires Gold-->"C:\Program Files\Microsoft Games\Age of Empires\DÉSINST.EXE" /runtemp
Microsoft Age of Empires II : The Conquerors Expansion-->"C:\Program Files\Microsoft Games\Age of Empires II\UNINSTALX.EXE" /runtemp /addremove
Microsoft Age of Empires II-->"C:\Program Files\Microsoft Games\Age of Empires II\UNINSTAL.EXE" /runtemp /uninstall
Microsoft Antimalware Service FR-FR Language Pack-->MsiExec.exe /X{A4526B5A-89C0-4F4B-9E6E-4F883374D5F9}
Microsoft Antimalware-->MsiExec.exe /X{A0A77CDC-2419-4D5C-AD2C-E09E5926B806}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Games for Windows - LIVE-->MsiExec.exe /X{F112F66E-25CA-42DD-983C-6118EB38F606}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Reader Text-to-Speech pour le français-->MsiExec.exe /X{6F1547AA-8DA7-4FAC-BA11-BE1659E7086E}
Microsoft Reader-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B6F7DBE7-2FE2-458F-A738-B10832746036}\Setup.exe" -L0x40c
Microsoft Security Essentials-->C:\Program Files\Microsoft Security Essentials\setup.exe /x
Microsoft Security Essentials-->MsiExec.exe /I{48B3FB4D-CE22-488C-8E9F-24EBB77EAC0F}
Microsoft SQL Server 2008 Management Objects-->MsiExec.exe /I{F5E87B12-3C27-452F-8E78-21D42164FD83}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries-->MsiExec.exe /X{842FAF7C-50EF-4463-9B8F-6222E1384D7D}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - fra-->MsiExec.exe /X{484AB636-ADBC-3A85-AB82-41873BDD1083}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32-->MsiExec.exe /X{044F9133-B8D7-4d11-BF39-803FA20F5C8B}
mIRC-->C:\Program Files\mIRC\uninstall.exe _?=C:\Program Files\mIRC
Mise à jour critique pour Lecteur Windows Media 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB954155)-->"C:\WINDOWS\$NtUninstallKB954155_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB972260)-->"C:\WINDOWS\ie7updates\KB972260-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB974455)-->"C:\WINDOWS\ie7updates\KB974455-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB976325)-->"C:\WINDOWS\ie7updates\KB976325-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958869)-->"C:\WINDOWS\$NtUninstallKB958869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969059)-->"C:\WINDOWS\$NtUninstallKB969059$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB969947)-->"C:\WINDOWS\$NtUninstallKB969947$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971486)-->"C:\WINDOWS\$NtUninstallKB971486$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971961)-->"C:\WINDOWS\$NtUninstallKB971961$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB972270)-->"C:\WINDOWS\$NtUninstallKB972270$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973525)-->"C:\WINDOWS\$NtUninstallKB973525$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973904)-->"C:\WINDOWS\$NtUninstallKB973904$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974112)-->"C:\WINDOWS\$NtUninstallKB974112$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974318)-->"C:\WINDOWS\$NtUninstallKB974318$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974392)-->"C:\WINDOWS\$NtUninstallKB974392$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB974571)-->"C:\WINDOWS\$NtUninstallKB974571$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB975467)-->"C:\WINDOWS\$NtUninstallKB975467$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 7 (KB976749)-->"C:\WINDOWS\ie7updates\KB976749-IE7\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB961503)-->"C:\WINDOWS\$NtUninstallKB961503$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973687)-->"C:\WINDOWS\$NtUninstallKB973687$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Module de prise en charge linguistique du français de Microsoft .NET Framework 3.0-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 French Language Pack\setup.exe
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.0.17)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32
vuninst.exe UninstallGUI
NVIDIA ForceWare Network Access Manager-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{1F6423DE-7959-4178-80E0-023C7EAA5347} /l1036 
NVIDIA PhysX-->MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
Oblivion-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x40c  -removeonly
OpenAL-->"C:\Program Files\OpenAL\oalinst.exe" /U
OpenOffice.org 3.1-->MsiExec.exe /I{0FA44E79-CD7D-4E8D-A2EE-26FE05F509B6}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
Paint.NET v3.36-->MsiExec.exe /X{43602F34-1AA3-44FB-AEB2-D08C2C73743F}
Portal-->"C:\Program Files\Steam\steam.exe" steam://uninstall/400
Quake III Arena Point Release 1.32-->C:\WINDOWS\unvise32.exe C:\Program Files\Quake III Arena\uninstal5.log
Quake III Arena-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Quake III Arena\QIII.isu"
Quake Live Mozilla Plugin-->MsiExec.exe /I{A10D9B03-AABB-47D7-8A30-2FEA97E70BC7}
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Ralink Wireless LAN Card-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FAB1F336-1B7C-4057-A7BC-2922CD82A781}\setup.exe" -l0x9  -removeonly
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB1puninst.exe RealNetworks|RealPlayer|6.0
Red Faction Guerrilla-->"C:\Program Files\InstallShield Installation Information\{A357EF4C-2B6F-4980-ACA9-B1E42A74D7F3}\setup.exe" -runfromtemp -l0x040c -removeonly
Red Faction Guerrilla-->MsiExec.exe /I{A357EF4C-2B6F-4980-ACA9-B1E42A74D7F3}
Samsung PC Studio 3 USB Driver Installer-->"C:\Program Files\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -runfromtemp -l0x040c -removeonly
Samsung PC Studio 3-->"C:\Program Files\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -runfromtemp -l0x040c -removeonly
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
SFR - Kit de connexion-->C:\Program Files\SFR\Kit\uninstall.exe
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Source SDK Base - Orange Box-->"C:\Program Files\Steam\steam.exe" steam://uninstall/218
SpeedFan (remove only)-->"C:\Program Files\SpeedFan\uninstall.exe"
Spelling Dictionaries Support For Adobe Reader 9-->MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
SQL Server System CLR Types-->MsiExec.exe /I{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}
Steam-->C:\PROGRA~1\Steam\UNWISE.EXE C:\PROGRA~1\Steam\INSTALL.LOG
Team Fortress 2 Dedicated Server-->"C:\Program Files\Steam\steam.exe" steam://uninstall/310
Team Fortress 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/440
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Ventrilo Client-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
VLC media player 1.0.1-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Live Writer-->MsiExec.exe /X{4634B21A-CC07-4396-890C-2B8168661FEA}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Presentation Foundation Language Pack (FRA)-->MsiExec.exe /X{6901DD22-527A-41EF-9059-E81FEDE9E494}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
World of Warcraft-->C:\Program Files\Fichiers communs\Blizzard Entertainment\World of Warcraft\Uninstall.exe
Wow Cartographe 1.10-->C:\Program Files\WowCartographe\uninst.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

Securitycenter WMI appears to be broken

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Samsung\Samsung PC Studio 3\;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 75 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=4b02
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"sourcesdk"=c:\program files\steam\steamapps\deksan\sourcesdk
"VProject"=c:\program files\steam\steamapps\deksan	eam fortress 2	f
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------


Et Log


Logfile of random's system information tool 1.06 (written by random/random)
Run by utilisateur at 2010-01-14 16:11:15
WIN_XP Service Pack 3
System drive C: has 60 GB (25%) free of 238 GB
Total RAM: 2047 MB (72% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:11:16, on 14/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Microsoft Security Essentials\msseces.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\RaUI.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\utilisateur\Bureau\RSIT.exe
C:\Program Files	rend micro\utilisateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide
O4 - HKLM\..\Run: [Autoconfigurateur WiFi SFR] "C:\Program Files\SFR\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-21-1409082233-515967899-839522115-1004\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User '?')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.travian.com/fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe

kalimusic · Answer

Bonsoir

1. Relance HijackThis
    * Dans la fenêtre "Main Menu" clique sur le bouton "None of the above, just start the program"
    * Clique sur le bouton Scan dans le sous-menu Scan & fix stuff
    * Après le balayage, coche les cases des lignes indiquées si toujours présentes : 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file) 

    * Ferme toutes les applications en cours et surtout le navigateur Internet !
    * Clique ensuite sur le bouton Fix checked dans le sous-menu Scan & fix stuff
    * Répond "Oui" dans la fenêtre d'avertissement, referme le programme après la suppression. 

Pour les 2 étapes suivantes :
!! Désactive les logiciels de protection (anti-virus, anti-spyware, etc) et les défenses résidentes !!
Tu réactiveras MSE après ces opérations.

2.. Rends-toi sur le site de GMER http://www.gmer.net/

Attention lit attentivement les instructions, cet outil est à manier avec précautions

* Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution.
* Télécharge ce fichier sur le bureau
* Double clique sur le fichier téléchargé pour lancer le programme

Si aucun rootkit n'est détecté

Clique sur le bouton Copy puis OK et colle le dans ton prochain message. 

Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :

WARNING, GMER has.............., Do you want to fully scan your system ?

=> Clique sur "YES"

Patiente l'opération peut être longue
Une fois le scan terminé une boite de dialogue s'ouvre:
GMER has found system modification caused by rootkit activity
=> Clique sur OK

Exécute ceci sur chaque éléments en rouge trouvé
( le type de l'élément se trouve dans la colonne de droite)

* Clique-droit Delete the service pour les services
* Clique-droit Kill Process pour les processus
* Clique-droit Delete file pour les fichiers

Pour chaque opération, tu devras valider par OK (ou Oui)

Pour générer le rapport clique sur le bouton Copy puis OK et colle le dans ton prochain message. 

3. Télécharge Rooter de l'équipe IDN sur ton bureau
lien = http://eric71.geekstogo.com/tools/Rooter.exe
*Lance l'outil en double cliquant sur son icône 
*Clique sur scan
*Patiente pendant le balayage, le rapport doit s'ouvrir spontanément
*Copie/colle le dans le prochain message

le rapport se trouve ici : C:\Rooter$\Rooter_1.txt

A +

teory · Answer

Salut (: 
Ok, je m'y met !

teory · Answer

Hello kali !
Bon, première étape ok .

deuxième étape avec GMER :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-22 20:52:13
Windows 5.1.2600 Service Pack 3
Running: j73pxeb6.exe; Driver: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\pwporpog.sys


---- System - GMER 1.0.15 ----

SSDT    spil.sys                ZwEnumerateKey [0xB7EC6CA2]
SSDT    spil.sys                ZwEnumerateValueKey [0xB7EC7030]

---- Devices - GMER 1.0.15 ----

Device  \FileSystem\Ntfs \Ntfs  8A55C1F8

---- EOF - GMER 1.0.15 ----


et enfin l'étape 3 :


Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP Home Edition (5.1.2600) Service Pack 3
[32_bits] - x86 Family 15 Model 75 Stepping 2, AuthenticAMD
.
Error OpenService (wscsvc) : 1060
Error OpenService (SharedAccess) : 1060
.
Internet Explorer 7.0.5730.11
Mozilla Firefox 3.5.7 (fr)
.
A:\  [Removable]
C:\  [Fixed-NTFS] .. ( Total:232 Go - Free:78 Go )
D:\  [CD_Rom]
E:\  [CD_Rom]
F:\  [CD_Rom]
G:\  [CD_Rom]
H:\  [CD_Rom]
.
Scan : 20:54.20
Path : C:\Documents and Settings\utilisateur\Mes documents\Téléchargements\Rooter.exe
User : utilisateur ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (600)
______ \??\C:\WINDOWS\system32\csrss.exe (648)
______ \??\C:\WINDOWS\system32\winlogon.exe (676)
______ C:\WINDOWS\system32\services.exe (720)
______ C:\WINDOWS\system32\lsass.exe (732)
______ C:\WINDOWS\system32
vsvc32.exe (892)
______ C:\WINDOWS\system32\svchost.exe (912)
______ C:\WINDOWS\system32\svchost.exe (964)
______ C:\WINDOWS\System32\svchost.exe (1044)
______ C:\WINDOWS\system32\svchost.exe (1080)
______ C:\WINDOWS\system32\svchost.exe (1172)
______ C:\WINDOWS\system32\svchost.exe (1252)
______ C:\WINDOWS\system32\spoolsv.exe (1412)
______ C:\WINDOWS\system32\svchost.exe (1520)
______ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe (1564)
______ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcLog.exe (1600)
______ C:\WINDOWS\system32\PnkBstrA.exe (1628)
______ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin
SvcIp.exe (1784)
______ C:\WINDOWS\Explorer.EXE (2008)
______ C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe (256)
______ C:\Program Files\SFR\Kit\WiFi\9wifi.exe (272)
______ C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe (320)
______ C:\Program Files\Windows Live\Messenger\msnmsgr.exe (400)
______ C:\WINDOWS\system32\ctfmon.exe (408)
______ C:\program files\steam\steam.exe (428)
______ C:\WINDOWS\RaUI.exe (544)
______ C:\WINDOWS\System32\svchost.exe (2456)
______ C:\Program Files\Windows Live\Contacts\wlcomm.exe (2764)
______ C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe (1956)
______ C:\Program Files\Mozilla Firefox\firefox.exe (2552)
______ c:\Program Files\Microsoft Security Essentials\MsMpEng.exe (3700)
______ C:\Documents and Settings\utilisateur\Mes documents\Téléchargements\j73pxeb6.exe (1772)
______ C:\Documents and Settings\utilisateur\Mes documents\Téléchargements\Rooter.exe (3228)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:250048479744)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\MP Scheduled Scan.job
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 20:54.38
.
C:\Rooter$\Rooter_1.txt - (22/01/2010 | 20:54.38)



Ensuite ? ^^p (désolé du temps qui sépare nos messages :/)

kalimusic · Answer

Salut

Ensuite ? ^^p (désolé du temps qui sépare nos messages :/)

C'est sûr c'est mieux de chercher les problèmes dans la foulée ! Le rapport rsit du 14 janvier est ok et aujourd'hui, les rapports ne montrent aucun fichier caché.

Tu peux supprimer rooter et gmer.

Si entre temps de ton côté tout est OK sur ton PC et si tu n'as pas d'autres questions : bon week end

teory · Answer

Hello ! 
Tout vas mieux (: 
J'en suis ravis, et te remercie pour toute ton aide ! 
Bon week end à toi aussi :)

Trojan Spotted (Zbot) :pasnoeldutout:

47 réponses

Discussions similaires