Sujet Précédent Sujet Suivant

Encore une infection

Résolu/Fermé
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 - 9 janv. 2010 à 18:22
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 - 10 janv. 2010 à 05:09
Bonjour,

Je crois avoir encore une infection.

ce fichier semble rediriger certaines ouvertures de pages web:
ijupeyeguwiviyi.dll

Sur Virus Total, 2 antivirus semblent détecter ce Trojan
F-Secure Trojan:W32/Hiloti.gen!C
VBA32 BScope.Trojan.Hiloti

C'est le même problème que j'ai déjà eu en novembre dernier.

Pouvez-vous encore m'aider?

Merci.

Jean Québec

19 réponses

Réponse 1 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
9 janv. 2010 à 18:23
Salut Jean Québec


On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)
1
Réponse 2 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
9 janv. 2010 à 18:27
Merci de m'aider.
1er rapport
------------------------------
Logfile of random's system information tool 1.06 (written by random/random)
Run by Admin at 2010-01-09 12:25:35
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 39 GB (55%) free of 71 GB
Total RAM: 2558 MB (80% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:25:50, on 2010-01-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Motive\McciCMService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\IBM ThinkVantage\Common\Logger\logmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Danièle\Bureau\RSIT.exe
C:\Program Files\trend micro\Admin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~1\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [AwaySch] C:\Program Files\Lenovo\AwayTask\AwaySch.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKUS\S-1-5-21-861206528-3860962029-3768280166-1006\..\Run: [Kbedoyatup] rundll32.exe "C:\Documents and Settings\Danièle\Local Settings\Application Data\ijupeyeguwiviyi.dll",Startup (User 'Danièle')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Mise à jour de logiciels ThinkPad - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/fr/fr
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {48DF87EE-F2DE-11D8-BE7F-302050C10815} (FlyLoader Class) - http://www.flygimp.com/loadergimp_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: AwayNotify - C:\Program Files\Lenovo\AwayTask\AwayNotify.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Service de base IPS (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Common Files\Motive\McciCMService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Program Files\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Program Files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Program Files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe
0
Réponse 3 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
9 janv. 2010 à 19:21
Salut Jean Québec


Double clique sur le raccourci d'HijackThis sur ton Bureau, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
Si pas de raccourci sur le bureau, il ce trouve ici :
C:\Program Files\trend micro\Admin.exe

O4 - HKUS\S-1-5-21-861206528-3860962029-3768280166-1006\..\Run: [Kbedoyatup] rundll32.exe "C:\Documents and Settings\Danièle\Local Settings\Application Data\ijupeyeguwiviyi.dll",Startup (User 'Danièle')


- Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

- Quitte HijackThis


-----


Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

:files
C:\Documents and Settings\Danièle\Local Settings\Application Data\ijupeyeguwiviyi.dll

:commands
[purity]
[emptytemp]
[reboot]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


@++ :)
0
Réponse 4 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
9 janv. 2010 à 20:07
Rebonjour.

Entre-temps j'ai fait un scan avec Malwarebyte (en mode sans échec) et il a trouvé 3 problèmes que j'ai détruits.

Voici le log de OTM
======================================

All processes killed
========== FILES ==========
DllUnregisterServer procedure not found in C:\Documents and Settings\Danièle\Local Settings\Application Data\ijupeyeguwiviyi.dll
C:\Documents and Settings\Danièle\Local Settings\Application Data\ijupeyeguwiviyi.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin

User: Administrateur

User: Administrateur.IBMPORTABLE

User: All Users

User: Danièle
->Temp folder emptied: 1216222 bytes
->Temporary Internet Files folder emptied: 251320813 bytes
->Java cache emptied: 759919 bytes
->FireFox cache emptied: 92672961 bytes
->Apple Safari cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService

User: NetworkService

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 330,00 mb


OTM by OldTimer - Version 3.1.4.0 log created on 01092010_135821
===================================
Que reste-t-il à faire

Merci de votre aide.

Jean Québec
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
9 janv. 2010 à 20:36
Salut Jean Québec


Poste le rapport de MalwareByte's, il peut être retrouvé sous l'onglet [g]Rapports/logs[/g] du logiciel.


@++ :)
0
Réponse 6 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
9 janv. 2010 à 21:26
Voici le rapport Malwarebytes
======================
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3527
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

2010-01-09 13:43:51
mbam-log-2010-01-09 (13-43-51).txt

Type de recherche: Examen rapide
Eléments examinés: 142639
Temps écoulé: 11 minute(s), 8 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Danièle\Local Settings\Temp\~TM15.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Documents and Settings\Danièle\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\Danièle\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
=======================
Que dois-je fair ensuite?

Jean Québec
0
Réponse 7 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
9 janv. 2010 à 22:04
Salut Jean Québec


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp


==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++ :)
0
Réponse 8 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
9 janv. 2010 à 22:49
Voici le rapport COMBOFIX
===================================

ComboFix 10-01-04.01 - Admin 2010-01-09 16:33:32.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2558.2066 [GMT 1:00]
Lancé depuis: c:\documents and settings\Danièle\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Danièle\Local Settings\Application Data\{BF40C494-2867-41AE-BF97-419C1C5AD146}
c:\documents and settings\Danièle\Local Settings\Application Data\{BF40C494-2867-41AE-BF97-419C1C5AD146}\chrome.manifest
c:\documents and settings\Danièle\Local Settings\Application Data\{BF40C494-2867-41AE-BF97-419C1C5AD146}\chrome\content\_cfg.js
c:\documents and settings\Danièle\Local Settings\Application Data\{BF40C494-2867-41AE-BF97-419C1C5AD146}\chrome\content\overlay.xul
c:\documents and settings\Danièle\Local Settings\Application Data\{BF40C494-2867-41AE-BF97-419C1C5AD146}\install.rdf
c:\program files\INSTALL.LOG
c:\windows\config.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-09 au 2010-01-09 ))))))))))))))))))))))))))))))))))))
.

2010-01-09 12:58 . 2010-01-09 12:58 -------- d-----w- C:\_OTM
2010-01-09 12:24 . 2009-12-09 09:47 -------- d-sh--w- c:\documents and settings\Administrateur.IBMPORTABLE\IETldCache
2010-01-09 11:25 . 2010-01-09 11:25 -------- d-----w- C:\rsit
2010-01-09 08:28 . 2010-01-09 08:28 -------- d-----w- c:\program files\Common Files
2010-01-09 08:28 . 2010-01-09 08:29 -------- d-----w- c:\program files\BellCanada
2010-01-09 08:27 . 2010-01-09 08:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Motive
2010-01-06 04:25 . 2010-01-06 04:25 -------- d-----w- c:\documents and settings\Admin\Application Data\AdobeUM
2009-12-19 15:11 . 2009-12-19 15:11 66992 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-19 15:11 . 2010-01-06 04:25 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Adobe
2009-12-16 23:11 . 2007-08-21 08:12 21760 ----a-w- c:\windows\system32\drivers\point32.sys
2009-12-16 23:10 . 2009-12-16 23:11 -------- d-----w- c:\program files\Microsoft IntelliPoint

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-09 12:55 . 2009-11-20 14:27 -------- d-----w- c:\program files\trend micro
2010-01-09 12:27 . 2009-09-21 00:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-09 12:26 . 2010-01-09 12:26 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-01-09 12:26 . 2010-01-09 12:26 -------- d-----w- c:\documents and settings\Administrateur.IBMPORTABLE\Application Data\Malwarebytes
2010-01-07 15:07 . 2009-09-21 00:12 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-09-21 00:12 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-03 03:06 . 2009-08-13 21:31 5427 ----a-w- c:\windows\system32\EGATHDRV.SYS
2009-12-17 08:50 . 2009-08-14 05:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-13 21:12 . 1979-12-31 22:00 84526 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-13 21:12 . 1979-12-31 22:00 510324 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-09 09:48 . 2009-10-02 21:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-12-08 11:56 . 2009-08-14 03:53 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-05 22:44 . 2009-12-05 22:43 -------- d-----w- c:\documents and settings\All Users\Application Data\PCDr
2009-12-04 16:40 . 2009-12-04 16:40 -------- d-----w- c:\program files\FileZilla FTP Client
2009-11-29 10:34 . 2009-11-29 10:34 -------- d-----w- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-11-22 23:47 . 2009-11-22 23:43 -------- d-----w- c:\documents and settings\All Users\Application Data\pdf995
2009-11-22 23:43 . 2009-09-11 18:38 59 ----a-w- c:\windows\wpd99.drv
2009-11-22 23:43 . 2009-09-11 18:38 51716 ----a-w- c:\windows\system32\pdf995mon.dll
2009-11-22 23:43 . 2009-09-11 18:38 249856 ----a-w- c:\windows\system32\pdfmona.dll
2009-11-22 18:58 . 2009-11-22 07:40 -------- d-----w- c:\program files\Unlocker
2009-11-20 19:26 . 2009-11-20 19:14 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-11-20 16:19 . 2009-09-20 22:55 120 ----a-w- c:\windows\Ukewew.dat
2009-11-20 00:47 . 2009-09-20 22:55 0 ----a-w- c:\windows\Hsojuwafonutul.bin
2009-11-20 00:40 . 2009-11-19 19:45 -------- d-----w- c:\program files\Panda Security
2009-11-15 22:44 . 2009-11-15 17:45 -------- d-----w- c:\program files\Java
2009-11-15 17:46 . 2009-11-15 17:45 -------- d-----w- c:\program files\LimeWire
2009-11-15 17:36 . 2009-11-15 17:35 -------- d-----w- c:\program files\iTunes
2009-11-15 17:36 . 2009-11-15 17:36 -------- d-----w- c:\program files\iPod
2009-11-15 17:36 . 2009-08-22 07:20 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-11-15 17:31 . 2009-11-15 17:31 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
2009-11-11 23:20 . 2009-10-14 18:56 -------- d-----w- c:\program files\Canon
2009-11-11 21:01 . 2009-08-13 21:05 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-02 19:42 . 2009-11-20 20:44 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 07:42 . 1979-12-31 22:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-21 05:39 . 1979-12-31 22:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 1979-12-31 22:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:33 . 2009-09-28 22:37 50404 ---ha-w- c:\windows\system32\mlfcache.dat
2009-10-20 16:20 . 2004-08-03 21:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 1979-12-31 22:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 1979-12-31 22:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 1979-12-31 22:00 150528 ----a-w- c:\windows\system32\rastls.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TpShocks"="TpShocks.exe" [2005-11-07 106496]
"LPManager"="c:\progra~1\THINKV~1\PrdCtr\LPMGR.exe" [2006-03-22 106496]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-03-09 94208]
"AwaySch"="c:\program files\Lenovo\AwayTask\AwaySch.EXE" [2006-03-23 69632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 1037736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AwayNotify]
2006-03-23 00:03 49152 ----a-w- c:\program files\Lenovo\AwayTask\AwayNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 21:45 28672 ----a-w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 18:16 24576 ----a-w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 15:41 45056 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
2005-08-01 03:10 122940 ----a-w- c:\windows\system32\DLA\DLACTRLW.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRMGRTR]
2006-03-22 23:13 151552 ----a-w- c:\progra~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2005-05-06 12:06 716800 ----a-w- c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2005-05-20 06:11 925696 ----a-w- c:\program files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2006-02-14 12:16 512000 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2006-02-14 12:17 110592 ----a-w- c:\program files\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TP4EX]
2005-10-16 23:11 65536 ----a-w- c:\windows\system32\TP4EX.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ACTray"=c:\program files\ThinkPad\ConnectUtilities\ACTray.exe
"ACWLIcon"=c:\program files\ThinkPad\ConnectUtilities\ACWLIcon.exe
"AMSG"=c:\program files\ThinkVantage\AMSG\Amsg.exe
"BLOG"=rundll32 c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
"DiskeeperSystray"="c:\program files\Diskeeper Corporation\Diskeeper\DkIcon.exe"
"EZEJMNAP"=c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
"ISUSPM Startup"=c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
"PDService.exe"="c:\program files\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
"suScheduler"=c:\program files\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ThinkVantage\\SystemUpdate\\jre\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13364:UDP"= 13364:UDP:Print Server Utility
"13621:UDP"= 13621:UDP:Print Server Utility
"13107:UDP"= 13107:UDP:Print Server Utility
"69:UDP"= 69:UDP:Print Server Utility TFTP

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-08-14 108289]
R2 PrivateDisk;PrivateDisk;c:\program files\IBM ThinkVantage\SafeGuard PrivateDisk\privatediskm.sys [2005-11-15 46142]
R2 smi2;smi2;c:\program files\SMI2\smi2.sys [2005-12-21 3968]
S4 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-01-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-08-14 c:\windows\Tasks\PMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2009-08-13 23:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ca/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
DPF: {48DF87EE-F2DE-11D8-BE7F-302050C10815} - hxxp://www.flygimp.com/loadergimp_fr.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\dv2sttiq.default\
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-ACNotify - ACNotify.dll
Notify-NavLogon - (no file)



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\tphklock.dll
c:\program files\Lenovo\AwayTask\AwayNotify.dll

- - - - - - - > 'explorer.exe'(3760)
c:\windows\system32\PROCHLP.DLL
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\windows\system32\IPSSVC.EXE
c:\program files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Diskeeper Corporation\Diskeeper\DkService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\System32\TPHDEXLG.EXE
c:\windows\system32\TpKmpSVC.exe
c:\program files\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
c:\program files\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
c:\program files\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
c:\windows\system32\wdfmgr.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\IBM ThinkVantage\Common\Logger\logmon.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\TpShocks.exe
c:\program files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
c:\program files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
c:\program files\Microsoft IntelliPoint\dpupdchk.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-01-09 16:42:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-09 15:42

Avant-CF: 41 348 677 632 octets libres
Après-CF: 41 266 909 184 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Home Edition" /fastdetect

- - End Of File - - 74F9F36D031AEF23A69924A30026808B
0
Réponse 9 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 01:05
Salut Jean Québec


Faire un scan de ce fichier Ukewew.dat ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
c:\windows\Ukewew.dat
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++ :)
0
Réponse 10 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
10 janv. 2010 à 01:53
Étrange: je viens de refaire un scan avec MalwareBytes, et il a détecté 4 problèmes, que j'ai supprimés.

Voici le résultat de Virus total:
===================
Fichier Ukewew.dat reçu le 2010.01.10 00:48:31 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.48 2010.01.09 -
AhnLab-V3 5.0.0.2 2010.01.09 -
AntiVir 7.9.1.130 2010.01.08 -
Antiy-AVL 2.0.3.7 2010.01.08 -
Authentium 5.2.0.5 2010.01.09 -
Avast 4.8.1351.0 2010.01.10 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.10 -
CAT-QuickHeal 10.00 2010.01.09 -
ClamAV 0.94.1 2010.01.09 -
Comodo 3514 2010.01.08 -
DrWeb 5.0.1.12222 2010.01.09 -
eSafe 7.0.17.0 2010.01.07 -
eTrust-Vet 35.2.7226 2010.01.08 -
F-Prot 4.5.1.85 2010.01.09 -
F-Secure 9.0.15370.0 2010.01.09 -
Fortinet 4.0.14.0 2010.01.09 -
GData 19 2010.01.10 -
Ikarus T3.1.1.80.0 2010.01.09 -
Jiangmin 13.0.900 2010.01.09 -
K7AntiVirus 7.10.943 2010.01.09 -
Kaspersky 7.0.0.125 2010.01.10 -
McAfee 5856 2010.01.09 -
McAfee+Artemis 5856 2010.01.09 -
McAfee-GW-Edition 6.8.5 2010.01.09 -
Microsoft 1.5302 2010.01.10 -
NOD32 4757 2010.01.09 -
Norman 6.04.03 2010.01.09 -
nProtect 2009.1.8.0 2010.01.09 -
Panda 10.0.2.2 2010.01.09 -
PCTools 7.0.3.5 2010.01.10 -
Prevx 3.0 2010.01.10 -
Rising 22.29.05.04 2010.01.09 -
Sophos 4.49.0 2010.01.09 -
Sunbelt 3.2.1858.2 2010.01.09 -
Symantec 20091.2.0.41 2010.01.10 -
TheHacker 6.5.0.3.144 2010.01.10 -
TrendMicro 9.120.0.1004 2010.01.09 -
VBA32 3.12.12.1 2010.01.09 -
ViRobot 2010.1.8.2128 2010.01.08 -
VirusBuster 5.0.21.0 2010.01.09 -
Information additionnelle
File size: 120 bytes
MD5...: 8efeabdeec3de81c3dc42a2801ddf461
SHA1..: 02f1032b36b1546af5815cd03befd0aa5a09b008
SHA256: 643f2d4a4311c9af9f31a361a0e827c1aaa6520328d1374e2ee4a65e6e9a2a37
ssdeep: 3:yxKdWoWgX6USwmaF5ctU0RpukCHeh2XVh:ycFWgX6LVTDUHM2Fh

PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 11 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 01:55
Salut Jean Québec


OK, as-tu ce nouveau rapport de MBAM?


@++ :)
0
Réponse 12 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
10 janv. 2010 à 01:58
Voici le nouveau rapport Malwarebytes
=============================


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3531
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-01-09 19:42:53
mbam-log-2010-01-09 (19-42-53).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 196774
Temps écoulé: 43 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{DBDF04D1-11C9-4A6A-A468-8D4BED762C2E}\RP203\A0028014.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DBDF04D1-11C9-4A6A-A468-8D4BED762C2E}\RP205\A0028333.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DBDF04D1-11C9-4A6A-A468-8D4BED762C2E}\RP205\A0028401.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DBDF04D1-11C9-4A6A-A468-8D4BED762C2E}\RP205\A0028504.sys (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 13 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 02:10
Salut Jean Québec


OK cela est bon, seulement la restauration système que l'on va supprimer en fin de désinfection.

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois)
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++ :)
0
Réponse 14 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
10 janv. 2010 à 04:15
Voici le rapport de ESET
==================
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=0b9d177fab44b740af1b147287f17121
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-09 09:10:52
# local_time=2010-01-09 10:10:52 (+0100, Paris, Madrid)
# country="Canada"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 26737 26737 0 0
# compatibility_mode=1797 16775125 100 100 38690 39505732 36750 0
# compatibility_mode=8192 67108863 100 0 3943 3943 0 0
# scanned=71142
# found=0
# cleaned=0
# scan_time=6562
==================
que faut-il faire maintenant?

Jean Québec
0
Réponse 15 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 04:18
Salut Jean Québec


Ton rapport est propre, as-tu d'autre souci?


@++ :)
0
Réponse 16 / 19
Jean Québec Messages postés 94 Date d'inscription mercredi 22 août 2007 Statut Membre Dernière intervention 14 novembre 2016 1
10 janv. 2010 à 04:21
Non je n'ai pas d'autre souci! Mais est-ce que les logiciels installés doivent être supprimés, ou conservés pour une future utilisation?

Encore Merci

Jean Québec
0
Réponse 17 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 04:35
Salut Jean Québec


On va supprimer la restauration infecté, désactive la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique

Redémarre l’ordinateur et réactive la restauration système.

Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php


-----


Non faut supprimer les outils car mis à jour régulièrement, on va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/


- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.

Note : Dans les options facultatives, créer toi un nouveau point de restauration

-----


Je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..) http://forum.malekal.com/ftopic893.php
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/


De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bonne journée/soirée et bon surf


@++ :)
0
Réponse 18 / 19
Jean Québec
10 janv. 2010 à 04:54
Voici le rapport TOOLSCLEANER
=============================

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\ComboFix\mbr.log: trouvé !
C:\Documents and Settings\Danièle\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Danièle\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Danièle\Bureau\Rsit.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !


Restauration annulée !
---------------------------------
--> Suppression:
C:\Documents and Settings\Danièle\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Danièle\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\ComboFix\mbr.log: supprimé !
C:\Documents and Settings\Danièle\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

===========================
Merci pour votre aide.
J'ai de la lecture pour quelques heures, et j'utilise déjà certaines de vos suggestions; je vais peaufiner mon approche SÉCURITÉ.

Merci encore.

Jean Québec
BRRRRRRR il fait -16 C en ce moment!
0
Réponse 19 / 19
dédétraqué Messages postés 4384 Date d'inscription vendredi 5 septembre 2008 Statut Contributeur sécurité Dernière intervention 4 février 2013 286
10 janv. 2010 à 05:09
Salut Jean Québec


Bien de rien cela a été un plaisir de t'aider.

Oui il fais froid, j'ai pas mis le bout du nez dehors aujourd'hui, -14 ici à Trois-Rivières.


Bonne fin de soirée


@++ :)
0

Discussions similaires

Infection ?
Tomy -
MisteryBean -

Bonjour, en cherchant une image animée pour fêter l' anniversaire d' une amie je crois que "j' ai gagné". J' avais sélectionné un  bouquet de fleurs et quand j' ai cliqué pour l' intégrer dans le courrier que je lui destinais il y avait  une flèche et marqué " cliquez ici pour garantir que vous n' êtes pas un robot" J' ai cliqué  et à droite de mon ordi  sont alors apparus plusieurs messages me signifiant que j' avais été infesté par le virus Trojan 11 - autre image : " Votre pc peut-être en danger"  , " Quelqu' un télécharge  des fichiers sur votre ordinateur - est-ce toi ? Oui  - Non . Je n' ai cliqué sur rien de ce qui est demandé car je pense que là est le piège mais ces annonces revien...

10 réponses
suppose une infection
Shiva_0119 -
bazfile -

Bonjour, bonjour à tous. J'ai le PC d'une personne âgé qui a été déjà vue par plusieurs personnes et qui tourne de plus en plus au ralenti, je leur ai demandé de me le prêter pour que j'essaye de trouver une solution alors je me tourne vers vous
il s agit d'un Asus F751 L
moi j'ai juste regardé ce que je voyais qui clochait
dessus déjà il y avait 3 antivirus défender, avaste et panda home. J'ai désinstallé avaste et panda mais je ne sais pas si cela est fait proprement.
le PC rame modérément et il y a plein de pub
J'ai voulu mettre malwarbytes mais impossible de l'installer à chaque fois à la moitié il plante

merci d avance

...

7 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

Bonjour,

Depuis pas mal de temps j'ai Avast qui me met un message

dasfelynsaterr.webcam infecté par URL.blacklist

Je suis sur windows 10 avec firefox 66.0.2

J'ai essayé d'enlever l'historique, j'ai passé Wise registry cleaner, sans succès j'ai toujours le message qu' Avast me dit d'avoir arrêté.

Pourriez vous SVP m'aider à m'en sortir car je désespère.
Je vous en remercie
marina41

6 réponses
infection ou pas?
jpn1000 -
mcvivien2 -

Bonjour,

Je ne peux plus télécharger sur internet 8 ni ouvrir les pièces jointes, j'ai fait un zhpdiag et il me note ceci

---\\ Trojan Driver Search Data (HKLM)(TDSD) (O52)
O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\SysWOW64\l3codeca.acm" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Codec Cinepak®.) -- C:\Windows\System32\iccvid.dll
O52 - TDSD: \Drivers32\"vidc.DIVX"="DivX.dll" . (.DivX, Inc. - DivX.) -- C:\Windows\System32\DivX.dll
O52 - TDSD: \Drivers32\"vidc.yv12"="DivX.dll" . (.DivX, Inc. - DivX.) -- C:\Windows\System32\DivX.dll
O52 -...

5 réponses
Infection ou pas ???
karissia -
helpcenter -

Bonjour,

Tout d'abord excusez mon ignorance, j'ai beau eu faire, l'informatique ça reste pas mon truc.
Je pense que j'ai un problème avec le disque dur C, il est presque plein (je met tous les fichiers genre photo, film, mes fichiers personnel ... sur le data 'D') et j'y trouve des dossiers qui n'ont aucun sens, et que l'antivirus ne peut analyser pour je ne sais pas quelle raison, par exemple un dossier vide (meme en affichant les fichiers cachés) "d2d0eabf64......." et il y'a aussi un dossier back-up (j'pense) en double, un sur le C et l'autre sur le disque D .... Et cela depuis un moment que mon PC fait quelques failles, genre quand je double clique ça s'ouvre d...

1 réponse