pc infecté Résolu/Fermé

Question

Bonjour,

depuis quelques jours mon logiciel anti virus (antivir) détecte beaucoup de virus et les met en quarantaine. Dois je faire quelque chose pour arrêter cette invasion? 

Merci de vos conseils.

Utilisateur anonyme · Answer

Salut,

On va analyser ton PC :

• Télécharge RSIT de Random/Random, et enregistre le sur ton Bureau.

• Sous XP : Double clique sur RSIT.exe
• Sous Vista/7 : Fais un clic droit sur RSIT.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Continue à l'écran Disclaimer.

• Si l'outil HijackThis n'est pas présent sur ton PC, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence en cliquant sur le bouton accept.

• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés.

&#9650; Les rapports sont sauvegardés dans C:\rsit\info.txt et C:\rsit\log.txt

&#9658; Aide en images


Peux-tu aussi mettre le rapport de Antivir stp.

Utilisateur anonyme · Answer

Bien, tu as effectivement quelques trucs.

Note : tu as une infection qui se propage par les disques amovibles.

• Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau

• Sous XP : Double clique sur UsbFix.exe
• Sous Vista/7 : Fais un clic droit sur UsbFix.exe et sélectionne "Exécuter en tant qu'administrateur"

• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.

• Choisis l'option "Recherche" en appuyant sur la touche 1 et valide avec la touche Entrée

• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) suceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK

• Patiente pendant que l'outil travaille

• A la fin du scan un rapport va s'ouvir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt

Note :
    Process.exe est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Tutoriel recherche en images

balthazar52 · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 5 janvier 2010  14:06

La recherche porte sur 1499531 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : BALTO

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  20/11/2009 19:54:45
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 19:54:42
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 19:54:44
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 19:54:44
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 19:54:44
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 19:54:44
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 19:54:44
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 19:54:44
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 19:54:44
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 19:54:44
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 19:54:44
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 19:54:44
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 19:54:44
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 19:54:44
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 17:03:17
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 08:45:11
VBASE015.VDF            : 7.10.1.178    195584 Bytes  07/12/2009 19:25:41
VBASE016.VDF            : 7.10.1.224    183296 Bytes  14/12/2009 20:38:04
VBASE017.VDF            : 7.10.1.247    182272 Bytes  15/12/2009 08:32:09
VBASE018.VDF            : 7.10.2.30    198144 Bytes  21/12/2009 10:45:56
VBASE019.VDF            : 7.10.2.63    187392 Bytes  24/12/2009 10:36:14
VBASE020.VDF            : 7.10.2.93    195072 Bytes  29/12/2009 10:36:10
VBASE021.VDF            : 7.10.2.94      2048 Bytes  29/12/2009 10:36:10
VBASE022.VDF            : 7.10.2.95      2048 Bytes  29/12/2009 10:36:10
VBASE023.VDF            : 7.10.2.96      2048 Bytes  29/12/2009 10:36:10
VBASE024.VDF            : 7.10.2.97      2048 Bytes  29/12/2009 10:36:11
VBASE025.VDF            : 7.10.2.98      2048 Bytes  29/12/2009 10:36:11
VBASE026.VDF            : 7.10.2.99      2048 Bytes  29/12/2009 10:36:11
VBASE027.VDF            : 7.10.2.100      2048 Bytes  29/12/2009 10:36:11
VBASE028.VDF            : 7.10.2.101      2048 Bytes  29/12/2009 10:36:11
VBASE029.VDF            : 7.10.2.102      2048 Bytes  29/12/2009 10:36:11
VBASE030.VDF            : 7.10.2.103      2048 Bytes  29/12/2009 10:36:11
VBASE031.VDF            : 7.10.2.120    168960 Bytes  05/01/2010 10:35:32
Version du moteur       : 8.2.1.130
AEVDF.DLL               : 8.1.1.2      106867 Bytes  16/11/2009 08:46:55
AESCRIPT.DLL            : 8.1.3.7      594296 Bytes  05/01/2010 10:35:47
AESCN.DLL               : 8.1.3.0      127348 Bytes  14/12/2009 20:38:08
AESBX.DLL               : 8.1.1.1      246132 Bytes  20/11/2009 19:54:44
AERDL.DLL               : 8.1.3.4      479605 Bytes  30/11/2009 22:17:29
AEPACK.DLL              : 8.2.0.4      422263 Bytes  05/01/2010 10:35:45
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  16/11/2009 08:46:54
AEHEUR.DLL              : 8.1.0.192   2195833 Bytes  05/01/2010 10:35:43
AEHELP.DLL              : 8.1.9.0      237943 Bytes  17/12/2009 08:32:06
AEGEN.DLL               : 8.1.1.83     369014 Bytes  05/01/2010 10:35:34
AEEMU.DLL               : 8.1.1.0      393587 Bytes  16/11/2009 08:46:53
AECORE.DLL              : 8.1.9.1      180598 Bytes  14/12/2009 20:38:08
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 14:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  16/11/2009 08:46:55
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 14:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  16/11/2009 08:46:49
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  20/11/2009 19:54:39

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PCK,

Début de la recherche : mardi 5 janvier 2010  14:06

La recherche d'objets cachés commence.
'78115' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uphclean.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HOMERunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchSettings.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Fast.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskSwitch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WgaTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'48' processus ont été contrôlés avec '48' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '61' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{3A28F848-63A0-4E08-85B9-C2CF93B5ABE4}\RP686\A0106972.exe
    [RESULTAT]  Contient le cheval de Troie TR/Spy.786432.9

Début de la désinfection :
C:\System Volume Information\_restore{3A28F848-63A0-4E08-85B9-C2CF93B5ABE4}\RP686\A0106972.exe
    [RESULTAT]  Contient le cheval de Troie TR/Spy.786432.9
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b744e7b.qua' !


Fin de la recherche : mardi 5 janvier 2010  15:35
Temps nécessaire:  1:17:49 Heure(s)

La recherche a été effectuée intégralement

  11223 Les répertoires ont été contrôlés
 298040 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 298038 Fichiers non infectés
   2498 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes
  78115 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Utilisateur anonyme · Answer

Ok, merci pour le rapport Antivir.
Fais ce qui est indiqué dans le post 4 maintenant.

balthazar52 · Answer

############################## | UsbFix V6.070 |

User : admin (Utilisateurs) # BALTO
Update on 03/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:47:39 | 05/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 127,99 Go (24,12 Go free) # NTFS
D:\ -> Disque CD-ROM # 345,65 Mo (0 Mo free) [CanonDC540W] # CDFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 111,55 Go (89,08 Go free) [PIERRE'S IP] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 632
C:\WINDOWS\system32\csrss.exe 704
C:\WINDOWS\system32\winlogon.exe 728
C:\WINDOWS\system32\services.exe 772
C:\WINDOWS\system32\lsass.exe 784
C:\WINDOWS\system32\svchost.exe 952
C:\WINDOWS\system32\svchost.exe 1000
C:\WINDOWS\System32\svchost.exe 1144
C:\WINDOWS\system32\svchost.exe 1208
C:\WINDOWS\system32\svchost.exe 1412
C:\WINDOWS\system32\WgaTray.exe 1640
C:\WINDOWS\Explorer.EXE 1652
C:\WINDOWS\system32\spoolsv.exe 1780
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1872
C:\Program Files\Java\jre6\bin\jusched.exe 1972
C:\WINDOWS\system32	askswitch.exe 1984
C:\WINDOWS\system32\fast.exe 2004
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe 2032
C:\WINDOWS\system32undll32.exe 2040
C:\WINDOWS\RTHDCPL.EXE 196
C:\Program Files\Real\RealPlayer\RealPlay.exe 232
C:\Program Files\Search Settings\SearchSettings.exe 256
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 268
C:\Program Files\QuickTime\QTTask.exe 296
C:\Program Files\iTunes\iTunesHelper.exe 320
C:\WINDOWS\system32\svchost.exe 400
C:\WINDOWS\system32\ctfmon.exe 352
C:\Program Files\Messenger\msmsgs.exe 464
C:\Program Files\TomTom HOME 2\HOMERunner.exe 492
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 532
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 584
C:\Program Files\Bonjour\mDNSResponder.exe 396
C:\WINDOWS\System32\svchost.exe 832
C:\Program Files\Java\jre6\bin\jqs.exe 1064
C:\WINDOWS\system32
vsvc32.exe 1260
C:\WINDOWS\system32\svchost.exe 1344
C:\Program Files\UPHClean\uphclean.exe 1380
C:\Program Files\Windows Media Player\WMPNetwk.exe 2092
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe 2280
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN 2300
C:\Program Files\iPod\bin\iPodService.exe 3124
C:\WINDOWS\System32\alg.exe 3456
C:\WINDOWS\system32\wscntfy.exe 1968
C:\Program Files\Mozilla Firefox\firefox.exe 2692
C:\WINDOWS\system32\NOTEPAD.EXE 3816
C:\WINDOWS\system32\NOTEPAD.EXE 3824
C:\WINDOWS\system32
otepad.exe 2284
C:\WINDOWS\system32
otepad.exe 3212
C:\WINDOWS\system32\wbem\wmiprvse.exe 3784

################## | Elements infectieux |

C:\WINDOWS\System32\autorun.exe 
C:\DOCUME~1\admin\LOCALS~1\Temp\utt13.tmp.exe 
D:\autorun.inf  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{299e3128-6fb7-11de-9e39-00138f9743a3}
Shell\AutoRun\command =F:\ReadMe.exe 

HKCU\..\..\Explorer\MountPoints2\{db270d9d-b4c3-11dd-9d49-00138f9743a3}
Shell\AutoRun\command =F:\InstallTomTomHOME.exe 

################## | Cracks > Keygens > Serials |


################## | ! Fin du rapport # UsbFix V6.070 ! |

Utilisateur anonyme · Answer

Ok, la suite :

• Relance UsbFix.exe

• Appuie sur la touche F pour sélectionner le français et valide avec la touche Entrée.

• Choisis l'option "Suppression" en appuyant sur la touche 2 et valide avec la touche Entrée

• Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) suceptibles d'avoir été infectés sans les ouvrir quand l'outil te le demande et clique sur le bouton OK

• Patiente pendant que l'outil travaille

• A la fin de la suppression un rapport va s'ouvir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt

Tutoriel suppression en images

balthazar52 · Answer

############################## | UsbFix V6.070 |

User : admin (Utilisateurs) # BALTO
Update on 03/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:05:27 | 05/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 127,99 Go (24,1 Go free) # NTFS
D:\ -> Disque CD-ROM # 345,65 Mo (0 Mo free) [CanonDC540W] # CDFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 111,55 Go (89,08 Go free) [PIERRE'S IP] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 640
C:\WINDOWS\system32\csrss.exe 704
C:\WINDOWS\system32\winlogon.exe 728
C:\WINDOWS\system32\services.exe 772
C:\WINDOWS\system32\lsass.exe 784
C:\WINDOWS\system32\svchost.exe 952
C:\WINDOWS\system32\svchost.exe 1000
C:\WINDOWS\System32\svchost.exe 1144
C:\WINDOWS\system32\svchost.exe 1192
C:\WINDOWS\system32\svchost.exe 1396
C:\WINDOWS\system32\WgaTray.exe 1656
C:\WINDOWS\Explorer.EXE 1668
C:\WINDOWS\system32\spoolsv.exe 1700
C:\Program Files\Avira\AntiVir Desktop\sched.exe 1796
C:\WINDOWS\system32\svchost.exe 1924
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 2028
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2040
C:\Program Files\Bonjour\mDNSResponder.exe 168
C:\WINDOWS\System32\svchost.exe 268
C:\Program Files\Java\jre6\bin\jqs.exe 308
C:\WINDOWS\system32
vsvc32.exe 500
C:\WINDOWS\system32\svchost.exe 548
C:\Program Files\UPHClean\uphclean.exe 576
C:\Program Files\Windows Media Player\WMPNetwk.exe 1244
C:\WINDOWS\system32\wuauclt.exe 1644
C:\WINDOWS\system32\wbem\wmiprvse.exe 1252
C:\WINDOWS\system32\wscntfy.exe 1460
C:\WINDOWS\System32\alg.exe 1604

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\System32\autorun.exe 
Supprimé ! C:\DOCUME~1\admin\LOCALS~1\Temp\utt13.tmp.exe 
Supprimé ! C:\Recycler\S-1-5-21-1202660629-630328440-839522115-1004 
Non supprimé ! D:\autorun.inf 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{299e3128-6fb7-11de-9e39-00138f9743a3}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{db270d9d-b4c3-11dd-9d49-00138f9743a3}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[18/10/2006 17:12|--a------|0] C:\AUTOEXEC.BAT 
[18/10/2006 17:08|---hs----|212] C:\boot.ini 
[28/08/2001 16:00|-rahs----|4952] C:\Bootfont.bin 
[05/08/2007 17:26|--a------|1957] C:\ComboFix-quarantined-files.txt 
[05/08/2007 17:26|--a------|7450] C:\ComboFix.txt 
[18/10/2006 17:12|--a------|0] C:\CONFIG.SYS 
[12/05/2007 17:22|--a------|68096] C:\diff.exe 
[12/05/2007 17:22|--a------|103424] C:\grep.exe 
[18/10/2006 17:12|-rahs----|0] C:\IO.SYS 
[09/01/2009 19:15|--a------|0] C:\log_lobby.txt 
[09/01/2009 19:15|--a------|0] C:\log_lobby_dumper.txt 
[18/10/2006 17:12|-rahs----|0] C:\MSDOS.SYS 
[12/05/2007 17:22|--a------|4701] C:
tbtlog_check.txt 
[03/08/2004 23:38|-rahs----|47564] C:\NTDETECT.COM 
[03/08/2004 23:59|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[12/05/2007 17:22|--a------|853] C:eboot.cmd 
[13/08/2007 13:56|--a------|34740] C:esultat.txt 
[05/01/2010 16:09|--a------|3509] C:\UsbFix.txt 
[04/11/2008 20:09|--a------|83925] C:\VETlog.dmp 
[04/11/2008 20:09|--a------|87796] C:\VETlog.txt 
[09/12/2007 08:00|-r-------|64] D:\AUTORUN.INF 
[29/01/2009 20:00|-r-------|79168] D:\setup.exe 
[01/01/2000 17:34|---------|0] F:\.metadata_never_index 
[19/08/2009 19:26|--ah-----|4096] F:\._.Trashes 
[19/08/2009 19:27|--ah-----|4096] F:\._iPod_Control 
[19/08/2009 19:27|--ah-----|49876] F:\.VolumeIcon.icns 
[19/08/2009 19:27|--ah-----|4096] F:\._.VolumeIcon.icns 
[19/08/2009 21:52|--ah-----|4096] F:\._? 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# F:\autorun.inf -> Dossier créé par UsbFix.  

################## | Crack > Keygen > Serial |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\admin\Bureau\UsbFix_Upload_Me_BALTO.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.070 ! |

Utilisateur anonyme · Answer

On passe à la suite :

• Télécharge et enregistre le fichier sur ton bureau Ad-Remover

• Sous XP : Double clique sur AD-R.exe
• Sous Vista/7 : Fais un clic droit sur AD-R.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Oui dans la fenêtre d'avertisement

• Au menu principal choisi l'option "Lancer le nettoyage" (avec la touche L) et tape sur la touche entrée.

• Patiente pendant que l'outil fait son travail

• Appuie sur une touche quand le programme te le demande

• Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\Ad-report.log

Note :
    Process.exe est détecté par certains antivirus comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

balthazar52 · Answer

Quand je lance le nettoyage, l'ordinateur redémarre et j'ai un message d'erreur:

"Windows ne trouve pas 'C:\ProgramFiles\Ad-Remover\ADp_01.bat' . Verifiez que vous avez entré  le nom correctement et essayer à nouveau "

Que dois-je faire?

merci

Utilisateur anonyme · Answer

Bizarre, vérifie qu'un dossier "Ad-Remover" soit bien présent dans C:\Program Files.

Essaie de retélécharger Ad-Remover si çà n'est pas déjà fait.

balthazar52 · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_G | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 04.01.2010 à 23:37
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:49:25, 05/01/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: BALTO | Utilisateur actuel: admin

.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\DOCUME~1\admin\APPLIC~1\Mozilla\FireFox\Profiles\qkgrr5bq.default\extensions	oolbar@ask.com 
C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} 
C:\Program Files\Mozilla FireFox\extensions\search@searchsettings.com 
C:\Program Files\Mozilla.org\Mozillaegxpcom.exe 
C:\log_lobby.txt 
C:\log_lobby_dumper.txt 
C:\DOCUME~1\admin\LOCALS~1\Temp\AskSearch 
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Dealio 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Everest Casino 
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Everest Poker 
C:\Program Files\Ask.com 
C:\Program Files\Dealio 
C:\Program Files\Everest Casino 
C:\Program Files\Everest Poker 
C:\Program Files\Search Settings 
C:\Program Files\Viewpoint 
C:\DOCUME~1\admin\APPLIC~1\Dealio 
C:\DOCUME~1\admin\APPLIC~1\Search Settings 
C:\DOCUME~1\admin\APPLIC~1\Viewpoint 
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint 
C:\Documents and Settings\admin\Local Settings\Application Data\AskToolbar 
C:\Windows\Installer\1cd379.msi   
C:\Windows\Installer\1cd37f.msi   
C:\DOCUME~1\admin\Bureau\Everest Casino.lnk 
C:\DOCUME~1\ALLUSE~1\Bureau\Everest Poker.lnk 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\appdatalow\AskToolbarInfo
HKCU\software\Ask.com
HKCU\software\AskToolbar
HKCU\software\Dealio
HKCU\software\Grand Virtual
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} 
HKCU\software\Search Settings
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\software\classes\appid\GenericAskToolbar.DLL
HKLM\software\classes\AxMetaStream.MetaStreamCtl
HKLM\software\classes\AxMetaStream.MetaStreamCtl.1
HKLM\software\classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\software\classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Classes\CLSID\{6A87B991-A31F-4130-AE72-6D0C294BF082}
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\classes\GenericAskToolbar.ToolbarWnd
HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\software\Dealio
HKLM\software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Microsoft\Internet Explorer\Extensions\{E908B145-C847-4e85-B315-07E2E70DECF8}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} 
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A87B991-A31F-4130-AE72-6D0C294BF082}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0292226F570267D459357AF78015E534
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\03285961954D5824C85975D955031EE8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\323D2420527EA994FB326F15D333660E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\588DFA161592E9747948BFFE475476F4
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AC3985F4D64C2245A96D31569D1BF40
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\855847FA0E25FBA46B8516389DFDD4B3
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9DC2844D0E3E8924C8973C3B3BAE1F58
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\AFEB575AA30ACB243B748619F62F0782
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B072F84D5AF1BB34C980E01F5689D864
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BB1E992117B1B0B42BD2CDAEB8E749C4
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DA6F069968D91A540A1363E997581959
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DBC7F2B5594E08A4C87EF4C22971C615
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F461B8DD96FF5AA41A52D14E1D7B69C7
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\au 
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings 
HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Casino
HKLM\software\microsoft\windows\currentversion\uninstall\Everest Poker
HKLM\software\microsoft\windows\currentversion\uninstall\ViewpointMediaPlayer
HKLM\software\Search Settings
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.16 [fr] *
.
 Nom du profil: qkgrr5bq.default (admin)
.
(admin, prefs.js) Browser.download.lastDir, C:\Documents and Settings\admin\Bureau\Ã  trier py\boulot
(admin, prefs.js) Extensions.enabledItems, toolbar@ask.com:3.5.1.110,{3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091216W,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.16
. 
(admin, prefs.js) EFFACE - Extensions.asktb.cbid, UG
(admin, prefs.js) EFFACE - Extensions.asktb.default-channel-url-mask, hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}
(admin, prefs.js) EFFACE - Extensions.asktb.fresh-install, false
(admin, prefs.js) EFFACE - Extensions.asktb.l, dis
(admin, prefs.js) EFFACE - Extensions.asktb.last-config-req, 1262685713939
(admin, prefs.js) EFFACE - Extensions.asktb.locale, fr_FR
(admin, prefs.js) EFFACE - Extensions.asktb.o, 15158
(admin, prefs.js) EFFACE - Extensions.asktb.options-lang, fr
(admin, prefs.js) EFFACE - Extensions.asktb.options-locale, UK
(admin, prefs.js) EFFACE - Extensions.asktb.overlay-reloaded-using-restart, true
(admin, prefs.js) EFFACE - Extensions.asktb.qsrc, 2871
(admin, prefs.js) EFFACE - Extensions.asktb.r, 5
(admin, prefs.js) EFFACE - Extensions.asktb.save-searches, false
(admin, prefs.js) EFFACE - Extensions.asktb.show-labels, false
(admin, prefs.js) EFFACE - Extensions.enabledItems, toolbar@ask.com:3.5.1.110,{3112ca9c-de6d-4884-a869-9855de68056c}:6.1.20091216W,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,jqs@sun.com:1.0,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.16
. 
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\admin\Favoris\Cracks - Serials\Astalavista.box.sk.url
C:\Documents and Settings\Default User\Favoris\Cracks - Serials\Astalavista.box.sk.url
.
===================================
.
12048 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\admin\LOCALS~1\Temp 
1 Fichier(s) - C:\WINDOWS\Temp 
8 Fichier(s) - C:\WINDOWS\Prefetch 
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
1168 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 16:59:35 | 05/01/2010 - CLEAN[1]
.
============== E.O.F ==============
.

Utilisateur anonyme · Answer

Très bien, on continue :

• Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur mbam-setup.exe pour lancer l'installation

• Laisse les options par défaut lors de l'installation

• Lance MBAM et laisse les Mises à jour se télécharger

• Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

• A la fin du scan, clique sur Afficher les résultats

• Coche tous les éléments détectés puis clique sur Supprimer la sélection

• S'il t'est demandé de redémarrer, clique sur Yes

• Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM


Puis refais un rapport rsit et copie/colle le dans une nouvelle réponse.

balthazar52 · Answer

Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3496
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

05/01/2010 23:37:32
mbam-log-2010-01-05 (23-37-32).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 186932
Temps écoulé: 2 hour(s), 32 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adsltaskbar (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Ad-Remover\QUARANTINE\PROGRA~1\EVERES~1\var\Everest Casino.exe.vir (Rogue.AdorableCasino) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{3A28F848-63A0-4E08-85B9-C2CF93B5ABE4}\RP689\A0107276.exe (Rogue.AdorableCasino) -> Quarantined and deleted successfully.

balthazar52 · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by admin at 2010-01-05 23:43:16
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 24 GB (19%) free of 131 GB
Total RAM: 447 MB (10% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:24, on 05/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32	askswitch.exe
C:\WINDOWS\system32\fast.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\admin\Bureau\RSIT.exe
C:\Program Files	rend micro\admin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32	askswitch.exe
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [AOL Dialer] C:\Program Files\Fichiers communs\AOL\ACS\AOlDial.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [uTorrent] "C:\Documents and Settings\admin\Bureau\utorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: AOL Companion.lnk = ?
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\admin\Application Data\Dealio\kb127es\DealioSearch.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.mypix.com/fr/fr/importer/newconf/aurigma5.8.1.0/ImageUploader5.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Utilisateur anonyme · Answer

La suite :

• Sous XP : Double clique sur HijackThis qui se trouve ici ==> C:\Program Files	rend micro\admin.exe
• Sous Vista/7 : Fais un clic droit et choisis exécuter en tant qu'administrateur sur HijackThis qui se trouve ici ==> C:\Program Files	rend micro\admin.exe

• Clique sur Do a system Scan only

• Coche les cases suivantes (si elles sont présentes) :




R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"




• Clique sur Fix checked puis sur "Oui" dans la fenêtre d'avertissement

• Ferme HijackThis 


On va supprimer les différents outils utilisés :

• Télécharge ToolsCleaner sur ton Bureau

• Sous XP : Double clique sur ToolCleaner2.exe
• Sous Vista/7 : Fais un clic droit sur ToolCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"

• Clique sur Recherche et patiente pendant le scan

• Clique sur Suppression pour supprimer les outils

• Clique sur Quitter, un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\TCleaner.txt


Tu peux supprimer ToolsCleaner2.exe

balthazar52 · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\admin\Bureau\Ad-R.exe: trouvé !
C:\Documents and Settings\admin\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\admin\Bureau\Rsit.exe: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\WINDOWS\catchme.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\admin\Bureau\Ad-R.exe: supprimé !
C:\Program Files\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\WINDOWS\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\admin\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\admin\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: supprimé !

Utilisateur anonyme · Answer

Ok, maintenant :

Suppression des points de restauration :
• Clique sur Démarrer
• Clique droit sur Poste de travail
• Clique sur Propriétés
• Clique sur l'onglet Restauration du système
• Clique sur Restauration système
• Coche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur Oui au message "Voulez-vous vraiment déactiver la restauration système ?"
• Décoche la case Désactiver la Restauration du système sur tous les lecteurs
• Clique sur Appliquer
• Clique sur OK

Création d'un nouveau point de restauration :
• Clique sur Démarrer
• Clique sur Programmes
• Clique sur Accessoires
• Clique sur Outils système
• Clique sur Restauration système
• Active la restauration si un message le demande
• Sélectionne Créer un point de restauration
• Clique sur Suivant
• Entre une Description
• Clique sur Créer
• Clique sur Fermer


Suppression des fichiers temporaires et nettoyage de la base de registre :

• Télécharge Ccleaner

• Lance l'installation en double cliquant sur le fichier téléchargé

• Laisse les options par défaut lors de l'installation

• Lance Ccleaner

• Clique sur le bouton Nettoyer et clique sur OK dans lafenêtre d'avertissement

• Clique sur l'onglet Registre

• Clique sur le bouton Chercher les erreurs

• Clique sur le bouton Corriger les erreurs sélectionnées

• Refais la recherche derreurs jusqu'à ce qu'il n'en trouve plus

balthazar52 · Answer

Je fais la recherche d'erreurs et une d'entre elle subsiste malgré une dizaine de corrections :
extension de fichier inutilisée :
{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

Utilisateur anonyme · Answer

Ok, çà n'est pas très grave.

Ensuite, les mises à jours :

Note : Tu as un Windows allégé (LSD 3) :

    * Le risque de ces OS est de ne pas pouvoir installer toutes les mises à jour, en effet le site de Windows Update requiert une validation afin d'accéder à toutes les mises à jour. De ce fait, certaines failles de sécurité pourraient ne pas être corrigées ce qui pourrait laisser place à diverses infections.
    * Le problème des OS allégés vient du fait que leurs auteurs ont supprimé des composants de Windows qu'ils n'ont pas jugé utiles mais qui peuvent être important pour la sécurité.

Par conséquent, il est possible que tu ne puisses pas installer ces mises à jour et que tu laisses ainsi différentes failles non corrigées.

Service Pack 3 de Windows XP et Internet Explorer 8 :

• Rends toi sur le site de Windows Update

• Installe l'ActiveX si il te le demande

• Clique sur le bouton Rapide puis sur le bouton Installer les mises à jour

• Redémarre ton PC à la fin de l'installation et retourne sur le site tant que des nouvelles mises à jour sont détectées

Note : Si la version 8 de Internet Explorer ne t'a pas été proposée, tu peux la télécharger ici.


Firefox :

Va sur le site de Firefox pour télécharger la dernière version et installe la.

balthazar52 · Answer

le soucis, c'est que ma version de Windows est piraté donc je ne peux plus faire de mise à jour...

Utilisateur anonyme · Answer

Oui, c'est bien ce que je t'avais noté au message précédent.
En ne pouvant pas faire ces mises à jour, le risque de te faire réinfecter est plus important.

Peux-tu faire un scan avec Antivir pour confirmer que l'infection soit supprimée.

balthazar52 · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 6 janvier 2010  12:59

La recherche porte sur 1501318 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 2)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : BALTO

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  20/11/2009 19:54:45
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 19:54:42
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 19:54:44
VBASE002.VDF            : 7.10.1.1       2048 Bytes  19/11/2009 19:54:44
VBASE003.VDF            : 7.10.1.2       2048 Bytes  19/11/2009 19:54:44
VBASE004.VDF            : 7.10.1.3       2048 Bytes  19/11/2009 19:54:44
VBASE005.VDF            : 7.10.1.4       2048 Bytes  19/11/2009 19:54:44
VBASE006.VDF            : 7.10.1.5       2048 Bytes  19/11/2009 19:54:44
VBASE007.VDF            : 7.10.1.6       2048 Bytes  19/11/2009 19:54:44
VBASE008.VDF            : 7.10.1.7       2048 Bytes  19/11/2009 19:54:44
VBASE009.VDF            : 7.10.1.8       2048 Bytes  19/11/2009 19:54:44
VBASE010.VDF            : 7.10.1.9       2048 Bytes  19/11/2009 19:54:44
VBASE011.VDF            : 7.10.1.10      2048 Bytes  19/11/2009 19:54:44
VBASE012.VDF            : 7.10.1.11      2048 Bytes  19/11/2009 19:54:44
VBASE013.VDF            : 7.10.1.79    209920 Bytes  25/11/2009 17:03:17
VBASE014.VDF            : 7.10.1.128    197632 Bytes  30/11/2009 08:45:11
VBASE015.VDF            : 7.10.1.178    195584 Bytes  07/12/2009 19:25:41
VBASE016.VDF            : 7.10.1.224    183296 Bytes  14/12/2009 20:38:04
VBASE017.VDF            : 7.10.1.247    182272 Bytes  15/12/2009 08:32:09
VBASE018.VDF            : 7.10.2.30    198144 Bytes  21/12/2009 10:45:56
VBASE019.VDF            : 7.10.2.63    187392 Bytes  24/12/2009 10:36:14
VBASE020.VDF            : 7.10.2.93    195072 Bytes  29/12/2009 10:36:10
VBASE021.VDF            : 7.10.2.94      2048 Bytes  29/12/2009 10:36:10
VBASE022.VDF            : 7.10.2.95      2048 Bytes  29/12/2009 10:36:10
VBASE023.VDF            : 7.10.2.96      2048 Bytes  29/12/2009 10:36:10
VBASE024.VDF            : 7.10.2.97      2048 Bytes  29/12/2009 10:36:11
VBASE025.VDF            : 7.10.2.98      2048 Bytes  29/12/2009 10:36:11
VBASE026.VDF            : 7.10.2.99      2048 Bytes  29/12/2009 10:36:11
VBASE027.VDF            : 7.10.2.100      2048 Bytes  29/12/2009 10:36:11
VBASE028.VDF            : 7.10.2.101      2048 Bytes  29/12/2009 10:36:11
VBASE029.VDF            : 7.10.2.102      2048 Bytes  29/12/2009 10:36:11
VBASE030.VDF            : 7.10.2.103      2048 Bytes  29/12/2009 10:36:11
VBASE031.VDF            : 7.10.2.126    197120 Bytes  05/01/2010 10:35:33
Version du moteur       : 8.2.1.130
AEVDF.DLL               : 8.1.1.2      106867 Bytes  16/11/2009 08:46:55
AESCRIPT.DLL            : 8.1.3.7      594296 Bytes  05/01/2010 10:35:47
AESCN.DLL               : 8.1.3.0      127348 Bytes  14/12/2009 20:38:08
AESBX.DLL               : 8.1.1.1      246132 Bytes  20/11/2009 19:54:44
AERDL.DLL               : 8.1.3.4      479605 Bytes  30/11/2009 22:17:29
AEPACK.DLL              : 8.2.0.4      422263 Bytes  05/01/2010 10:35:45
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  16/11/2009 08:46:54
AEHEUR.DLL              : 8.1.0.192   2195833 Bytes  05/01/2010 10:35:43
AEHELP.DLL              : 8.1.9.0      237943 Bytes  17/12/2009 08:32:06
AEGEN.DLL               : 8.1.1.83     369014 Bytes  05/01/2010 10:35:34
AEEMU.DLL               : 8.1.1.0      393587 Bytes  16/11/2009 08:46:53
AECORE.DLL              : 8.1.9.1      180598 Bytes  14/12/2009 20:38:08
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 14:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  16/11/2009 08:46:55
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 14:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  16/11/2009 08:46:49
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  20/11/2009 19:54:39

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +PCK,

Début de la recherche : mercredi 6 janvier 2010  12:59

La recherche d'objets cachés commence.
Une instance de la bibliothèque ARK fonctionne déjà.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uphclean.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HOMERunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AOLAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Fast.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskSwitch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WgaTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'43' processus ont été contrôlés avec '43' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\admin\Bureau\AD-R(2).exe
  [0] Type d'archive: NSIS
    --> ProgramFilesDir/List.dat
      [RESULTAT]  Contient le modèle de détection du virus de script HTML HTML/Malicious.ActiveX.Gen

Début de la désinfection :
C:\Documents and Settings\admin\Bureau\AD-R(2).exe
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b71976c.qua' !


Fin de la recherche : mercredi 6 janvier 2010  14:59
Temps nécessaire:  1:54:00 Heure(s)

La recherche a été effectuée intégralement

  10385 Les répertoires ont été contrôlés
 268822 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 268820 Fichiers non infectés
   2374 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes

Utilisateur anonyme · Answer

Ok,

Le fichier détecté (C:\Documents and Settings\admin\Bureau\AD-R(2).exe) correspond à un outil que nous avons utilisé.
Tu peux vider la quarantaine de Antivir.

Pour finir :

Je te conseille de te procurer une version originale de Windows afin de limiter de futures infections.


Pour vérifier que tes logiciels soient à jour, tu peux utiliser régulièrement Update Checker comme ceci :

• Télécharge Update Checker de FileHippo.com sur ton bureau

• Exécute UpdateChecker.exe et patiente pendant qu'il vérifie les versions de tes logiciels installés

• Une page internet va s'ouvrir avec les mises à jour disponible

• Clique sur les flèches vertes pour accéder aux nouvelles mises à jour que tu souhaites installer (n'installe pas les programmes betas)


/!\ Tu as un logiciel de P2P présent sur ton PC, sache qu'une grande partie des infections s'attrape par le biais des réseaux de P2P, soit donc très vigilant concernant les fichiers que tu pourrais télécharger.


Tu peux garder Malwarebytes et Ccleaner pour faire un scan de temps en temps avec.


Je te conseille ces extensions pour améliorer la sécurité de Firefox :

• WOT (Web Of Trust) : cette extension permettra de savoir, quand tu accèdes à un site ou en faisant une recherche sur Google, s'il s'agit d'un site de confiance ou au contraire à éviter.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

• Adblock Plus : cette extension permet de bloquer les pages ou bannières publicitaires. Cela permet de ne pas être envahit par toutes les publicités et accélère l'accès aux pages web.
Lien de l'extension : https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


Si tu n'as pas d'autre question/problème, je pense que ton problème est résolu.

balthazar52 · Answer

ok merci beaucoup pour ton aide.

je pense passer sous OS libre (ubuntu)...affaire à suivre

Bonne année à toi et encore merci

Pc infecté

24 réponses