msb.exe

Question

Bonjour,

J'ai un problème avec un fichier le «msb.exe». AVG a été le premier a détecter un virus. Puis ce fut le tour du système d'exploitation de m'avertir: «msb.exe a rencontré un problème et doit fermer.» 

Quelqu'un pourrait-il m'aider ?

Merci !

=================================================================
J'ai fait un scan avec RSIT.

 le résultat du LOG.TXT est le suivant:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of random's system information tool 1.06 (written by random/random)
Run by Richard at 2010-01-17 07:43:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 42 GB (88%) free of 48 GB
Total RAM: 511 MB (20% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:43:44, on 2010-01-17
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\msb.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Portable\PortableApps\OperaUSB\OperaUSB.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Portable\PortableApps\AbiWord\App\AbiSuite2\AbiWord\bin\AbiWord.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Documents and Settings\Richard\Bureau\RSIT\RSIT.exe
C:\Program Files	rend micro\Richard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PidginPortable.exe.lnk = D:\Portable\Pidgin\PidginPortable.exe
O4 - Global Startup: ComproRemote.lnk = C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

moment de grace · Answer

bonjour

fais ceci dans cet ordre

1)
Téléchargez USBFIX de Chiquitine29, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

• Double clic sur le raccourci UsbFix présent sur le bureau . 

• Choisir l'option2 suppression
(d’autres options disponibles, voir le tutoriel). 
• Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

&#9679; Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

&#9679; Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

Merci 

......................

2)
Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Utilisateur anonyme · Answer

bonjour moment de grace
édité
bonne chasse

Air du temps · Answer

Merci Nathandre de vouloir m'aider.

Voici le rapport de USBFix

############################## | UsbFix V6.074 |

User : Richard (Administrateurs) # RICK-BBO6P085
Update on 15/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:52:21 | 2010-01-17
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 47,02 Go (41,27 Go free) [WXP-Home-P1] # NTFS
D:\ -> Disque fixe local # 28 Go (17,02 Go free) [NTFS Log30-2] # NTFS
E:\ -> Disque amovible # 7,5 Go (4,11 Go free) [KINGSTON] # FAT32
F:\ -> Disque fixe local # 29,29 Go (16,02 Go free) [NTFS Log30-1] # NTFS
G:\ -> Disque amovible # 1,88 Go (961,02 Mo free) [PKBACK# 001] # FAT32
H:\ -> Disque fixe local # 26,99 Go (14,79 Go free) [XOSL-PRI3] # FAT32
J:\ -> Disque CD-ROM
V:\ -> Disque fixe local # 46,08 Go (1,19 Go free) [Video-Pri3] # NTFS
W:\ -> Disque fixe local # 4,09 Go (3,31 Go free) [Swap] # NTFS
X:\ -> Disque fixe local # 4,82 Go (4,36 Go free) [Shur-Gain] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 644
C:\WINDOWS\system32\csrss.exe 692
C:\WINDOWS\system32\winlogon.exe 720
C:\WINDOWS\system32\services.exe 764
C:\WINDOWS\system32\lsass.exe 776
C:\WINDOWS\system32\svchost.exe 948
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\System32\svchost.exe 1112
C:\WINDOWS\System32\svchost.exe 1224
C:\WINDOWS\System32\svchost.exe 1324
C:\Program Files\AVG\AVG9\avgchsvx.exe 1400
C:\Program Files\AVG\AVG9\avgrsx.exe 1420
C:\WINDOWS\system32\brss01a.exe 1532
C:\WINDOWS\system32\spoolsv.exe 1540
C:\Program Files\AVG\AVG9\avgcsrvx.exe 1648
C:\WINDOWS\Explorer.EXE 1888
C:\WINDOWS\System32\svchost.exe 356
C:\Program Files\AVG\AVG9\avgwdsvc.exe 404
C:\Program Files\Java\jre6\bin\jqs.exe 476
C:\WINDOWS\System32
vsvc32.exe 632
C:\WINDOWS\System32\svchost.exe 740
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe 1732
C:\Program Files\Java\jre6\bin\jusched.exe 1776
C:\PROGRA~1\AVG\AVG9\avgtray.exe 1716
C:\Program Files\AVG\AVG9\avgemc.exe 1856
C:\Program Files\AVG\AVG9\avgnsx.exe 1852
C:\WINDOWS\system32\ctfmon.exe 2052
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe 2120
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe 2232
C:\Program Files\AVG\AVG9\avgcsrvx.exe 3364
C:\WINDOWS\System32\alg.exe 2740
C:\WINDOWS\system32\wuauclt.exe 464
C:\WINDOWS\system32	askmgr.exe 1432
C:\WINDOWS\msb.exe 1712
D:\Portable\PortableApps\Thunderbird\ThunderbirdPortable.exe 3140
D:\Portable\PortableApps\Thunderbird\App	hunderbird	hunderbird.exe 1748
C:\WINDOWS\system32\wbem\wmiprvse.exe 3060

################## | Elements infectieux |

C:\WINDOWS\msa.exe 
C:\WINDOWS\msb.exe 
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
C:\WINDOWS\System32\sshnas21.dll 
C:\DOCUME~1\Richard\LOCALS~1\Temp\a.dat 
E:\autorun.inf  
G:\autorun.inf  
G:\i.bat  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\XML]  
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet002\Services\SSHNAS]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{c49a1f79-9a3c-11de-b387-000c6eea0259}
Shell\AutoRun\command =E:\setupSNK.exe 

################## | Cracks > Keygens > Serials |

"D:\Downloads\04_Utilitaires\Crack\pdfcracker.exe"  
2007-05-23 20:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93  
 
"D:\Downloads\04_Utilitaires\Crack\pdfsam-win32inst-v1_1_3.exe"  
2009-05-30 10:45 |Size 5370990 |Crc32 a78dcbff |Md5 80f1398fbcd03ff417984ed1ffea0ea4  
 
"H:\Mes documents\MsOffice\Pdf\val&#8218;rie\pdfcracker.exe"  
2007-05-23 21:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93  
 
"H:\Mes documents\Internet	elechargement\Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON.ZIP"
-> Contain : Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON\Keygen.exe 


################## | ! Fin du rapport # UsbFix V6.074 ! |

moment de grace · Answer

nat s'est éffacée et je te guiderai si tu veux bien (sauf si tu hurles le contraire elle reviendra)

&#9679; Relance UsbFix 

&#9679; Dans le menu principale cette fois choisit l'option2 

 Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

&#9679; Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

&#9679; Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

Merci 

.............

ensuite

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

moment de grace · Answer

(je sais que nat va faire la grimace...mais bon...sourire)

Téléchargez MalwareByte's Anti-Malware 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

. Enregistres le sur le bureau 
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte 
. Une fois la mise à jour terminé 
. Rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, clique sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché 
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

moment de grace · Answer

ok

comment va le pc ?

relances RSIT et postes juste le rapport log stp

Air du temps · Answer

Bonjour nathandre

Sous tes conseils judicieux et avec l'aide de AVG j'ai supprimé les fichiers suivants:


"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc9.exe";"Cheval de Troie : Crypt.MID";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc7.exe";"Cheval de Troie : Crypt.MIE";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc5.exe";"Cheval de Troie : Crypt.MIE";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc1.exe";"Cheval de Troie : Crypt.MID";"Placé en quarantaine"

Tous venaient du répertoire 
C:\UsbFix\Quarantine\C\RECYCLERS-1-5-21-854245398-839522115-1801674531-1004.UsbFix
que le programme UsbFix avait mis en quarantaine.


Malwarebytes'Anti-Malware
A deux fichiers en quarantaine

Date 	        Vendeur	          Catégorie	       Eléments				                   Référence #
2010-01-17   Trojan.FakeAlert   Registry Jey   HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM  15172
2010-01-17   Trojan.FakeAlert   Registry Key   HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY    84486

Que j'ai Tout supprimer !

Merci de tes judicieux conseils nathandre
Je vais maintenant essayer de relancer RSIT et poster le log à moment de grace.

Air du temps · Answer

Bonsoir moment de grace,

Le PC va mieux car je n'ai plus le message original du système d'exploitation m'avertissant que: « msb.exe a rencontré un problème et doit fermer. »

Par contre mon PC était allumé depuis un bon moment et il a décidé de redémarrer tout seul... Sans mon intervention ! Bizarre ?
Il y a des mystères parfois inexpliqués...

Note: msb.exe  n'est plus dans les processus actifs ni dans le dossier C:\Windows (Ah ! Le vilain !)

Simple curiosité docteur, dans le log tu cherche quoi ?


=========================================================
Voici le log obtenu avec RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Richard at 2010-01-18 18:39:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 42 GB (88%) free of 48 GB
Total RAM: 511 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:39, on 2010-01-18
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Richard\Bureau\RSIT\RSIT.exe
C:\Program Files	rend micro\Richard.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PidginPortable.exe.lnk = D:\Portable\Pidgin\PidginPortable.exe
O4 - Global Startup: ComproRemote.lnk = C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

moment de grace · Answer

dans le log tu cherche quoi 
je cheche des lignes qui pourraient m'indiquer la présence de virus comme dans ton premier log...
et là c'est bon

1)
Cherches et cliques sur C:\Program Files	rend micro\Richard.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


……………………..

2)
Mets à jour internet explorer 
https://support.microsoft.com/fr-fr/allproducts

………….

3)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


……………..

4)
Télécharge ToolsCleaner2sur ton Bureau. 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


Tu peux supprimer ToolCleaner ensuite

Air du temps · Answer

Bonsoir moment de grace,

J'ai fait l'étape 1
1) Cherches et cliques sur C:\Program Files	rend micro\Richard.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Un dossier backup (C:\Program Files	rend micro\backups) est apparu avec des fichiers
8 fichiers avec un fichier raccourci. J'imagine que cela correspond à ce que tu m'a fait cocher ? À quoi sert l'acharnement thérapeutique sur CTFMON.exe ?

J'ai fait l'étape 2
2) Mets à jour internet explorer
Petit problème ici, par contre. J'ai cliqué sur le lien que tu m'avais créé pour mettre à jour Internet Explorer8, mais pendant la mise à jour, AVG a détecté une menace.

Nom du fichier: C:\System Volume Information\Restore{5A5CC59B-2F43-4EF6-9580-75814704649C}RP137\A0050720.dll

Nom de la menace: Cheval de Troie: Dowloader.Generic9.AISF
Détecté à l'ouverture.

Nom du processus:C:\Windows\system32\svchost.exe
ID du processus : 1120

Je l'ai mis en quarantaine: « Ai-je fais une erreur ? 
Je n'ai pas osé continuer avec l'étape 3 et 4.  Je ne voulais pas agraver mon cas...
J'attends de tes nouvelles

Merci

moment de grace · Answer

CTFMON.exe 

pas tres utile au demarrage du pc

https://www.commentcamarche.net/contents/855-ctfmon-ctfmon-exe

...............

Nom du fichier: C:\System Volume Information\Restore

d'où l'étape 3 pour supprimer les virus cachés dans la retauration systeme (Restore)

...............

étape 4 sert à supprimer les outils de désinfection utilisés

Air du temps · Answer

Bonjour moment de grace,

Merci pour le lien ctmon, c'était très instructif.

Est-ce que je dois effacer la quarantaine de AVG ?

J'ai fait l'étape 3, mais la boite Restauration du système n'est jamais apparu... Bizarre ?
Par contre j'ai remis après Désactiver la restauration (décoché) !

L'étape 4 a été faite, voici son log

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Richard\Bureau\Rsit: trouvé !
C:\Documents and Settings\Richard\Bureau\RSIT\Rsit.exe: trouvé !
C:\Documents and Settings\Richard\Bureau\Virus\UsbFix.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\Richard\Bureau\RSIT\Rsit.exe: supprimé !
C:\Documents and Settings\Richard\Bureau\Virus\UsbFix.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Richard\Bureau\Rsit: supprimé !

Air du temps · Answer

Bonjour toi,

Je dois partir pour le travail.

Je ferai tes instruction à mon retour.

Merci de m'aider,

À plus tard

moment de grace · Answer

Est-ce que je dois effacer la quarantaine de AVG 

oui


Je ferai tes instruction à mon retour.

(sourire) c'est fini

Air du temps · Answer

Un gros merci,

Pour nathandre et  moment de grace.

Votre aide m'a été très précieuse. Lâchez-pas !

moment de grace · Answer

(sourire)

Msb.exe

16 réponses

Newsletters