Msb.exe

Fermé
Air du temps - 17 janv. 2010 à 14:43
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 21 janv. 2010 à 05:52
Bonjour,

J'ai un problème avec un fichier le «msb.exe». AVG a été le premier a détecter un virus. Puis ce fut le tour du système d'exploitation de m'avertir: «msb.exe a rencontré un problème et doit fermer.»

Quelqu'un pourrait-il m'aider ?

Merci !

=================================================================
J'ai fait un scan avec RSIT.

le résultat du LOG.TXT est le suivant:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of random's system information tool 1.06 (written by random/random)
Run by Richard at 2010-01-17 07:43:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 42 GB (88%) free of 48 GB
Total RAM: 511 MB (20% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:43:44, on 2010-01-17
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\msb.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Portable\PortableApps\OperaUSB\OperaUSB.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Portable\PortableApps\AbiWord\App\AbiSuite2\AbiWord\bin\AbiWord.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Documents and Settings\Richard\Bureau\RSIT\RSIT.exe
C:\Program Files\trend micro\Richard.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PidginPortable.exe.lnk = D:\Portable\Pidgin\PidginPortable.exe
O4 - Global Startup: ComproRemote.lnk = C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

16 réponses

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
20 janv. 2010 à 16:55
Est-ce que je dois effacer la quarantaine de AVG

oui


Je ferai tes instruction à mon retour.

(sourire) c'est fini



1
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
21 janv. 2010 à 05:52
(sourire)
1
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
17 janv. 2010 à 14:52
bonjour

fais ceci dans cet ordre

1)
Téléchargez USBFIX de Chiquitine29, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur le bureau .

Choisir l'option2 suppression
(d’autres options disponibles, voir le tutoriel).
• Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

● Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

● Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci

......................

2)
Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
0
Utilisateur anonyme
17 janv. 2010 à 14:52
bonjour moment de grace
édité
bonne chasse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Air du temps
17 janv. 2010 à 17:03
Merci Nathandre de vouloir m'aider.

Voici le rapport de USBFix

############################## | UsbFix V6.074 |

User : Richard (Administrateurs) # RICK-BBO6P085
Update on 15/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 10:52:21 | 2010-01-17
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 47,02 Go (41,27 Go free) [WXP-Home-P1] # NTFS
D:\ -> Disque fixe local # 28 Go (17,02 Go free) [NTFS Log30-2] # NTFS
E:\ -> Disque amovible # 7,5 Go (4,11 Go free) [KINGSTON] # FAT32
F:\ -> Disque fixe local # 29,29 Go (16,02 Go free) [NTFS Log30-1] # NTFS
G:\ -> Disque amovible # 1,88 Go (961,02 Mo free) [PKBACK# 001] # FAT32
H:\ -> Disque fixe local # 26,99 Go (14,79 Go free) [XOSL-PRI3] # FAT32
J:\ -> Disque CD-ROM
V:\ -> Disque fixe local # 46,08 Go (1,19 Go free) [Video-Pri3] # NTFS
W:\ -> Disque fixe local # 4,09 Go (3,31 Go free) [Swap] # NTFS
X:\ -> Disque fixe local # 4,82 Go (4,36 Go free) [Shur-Gain] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 644
C:\WINDOWS\system32\csrss.exe 692
C:\WINDOWS\system32\winlogon.exe 720
C:\WINDOWS\system32\services.exe 764
C:\WINDOWS\system32\lsass.exe 776
C:\WINDOWS\system32\svchost.exe 948
C:\WINDOWS\system32\svchost.exe 1016
C:\WINDOWS\System32\svchost.exe 1112
C:\WINDOWS\System32\svchost.exe 1224
C:\WINDOWS\System32\svchost.exe 1324
C:\Program Files\AVG\AVG9\avgchsvx.exe 1400
C:\Program Files\AVG\AVG9\avgrsx.exe 1420
C:\WINDOWS\system32\brss01a.exe 1532
C:\WINDOWS\system32\spoolsv.exe 1540
C:\Program Files\AVG\AVG9\avgcsrvx.exe 1648
C:\WINDOWS\Explorer.EXE 1888
C:\WINDOWS\System32\svchost.exe 356
C:\Program Files\AVG\AVG9\avgwdsvc.exe 404
C:\Program Files\Java\jre6\bin\jqs.exe 476
C:\WINDOWS\System32\nvsvc32.exe 632
C:\WINDOWS\System32\svchost.exe 740
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe 1732
C:\Program Files\Java\jre6\bin\jusched.exe 1776
C:\PROGRA~1\AVG\AVG9\avgtray.exe 1716
C:\Program Files\AVG\AVG9\avgemc.exe 1856
C:\Program Files\AVG\AVG9\avgnsx.exe 1852
C:\WINDOWS\system32\ctfmon.exe 2052
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe 2120
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe 2232
C:\Program Files\AVG\AVG9\avgcsrvx.exe 3364
C:\WINDOWS\System32\alg.exe 2740
C:\WINDOWS\system32\wuauclt.exe 464
C:\WINDOWS\system32\taskmgr.exe 1432
C:\WINDOWS\msb.exe 1712
D:\Portable\PortableApps\Thunderbird\ThunderbirdPortable.exe 3140
D:\Portable\PortableApps\Thunderbird\App\thunderbird\thunderbird.exe 1748
C:\WINDOWS\system32\wbem\wmiprvse.exe 3060

################## | Elements infectieux |

C:\WINDOWS\msa.exe
C:\WINDOWS\msb.exe
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\System32\sshnas21.dll
C:\DOCUME~1\Richard\LOCALS~1\Temp\a.dat
E:\autorun.inf
G:\autorun.inf
G:\i.bat

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]
[HKCU\SOFTWARE\XML]
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
[HKLM\SYSTEM\ControlSet001\Services\SSHNAS]
[HKLM\SYSTEM\ControlSet002\Services\SSHNAS]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{c49a1f79-9a3c-11de-b387-000c6eea0259}
Shell\AutoRun\command =E:\setupSNK.exe

################## | Cracks > Keygens > Serials |

"D:\Downloads\04_Utilitaires\Crack\pdfcracker.exe"
2007-05-23 20:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93

"D:\Downloads\04_Utilitaires\Crack\pdfsam-win32inst-v1_1_3.exe"
2009-05-30 10:45 |Size 5370990 |Crc32 a78dcbff |Md5 80f1398fbcd03ff417984ed1ffea0ea4

"H:\Mes documents\MsOffice\Pdf\val‚rie\pdfcracker.exe"
2007-05-23 21:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93

"H:\Mes documents\Internet\telechargement\Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON.ZIP"
-> Contain : Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON\Keygen.exe


################## | ! Fin du rapport # UsbFix V6.074 ! |
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
17 janv. 2010 à 17:10
nat s'est éffacée et je te guiderai si tu veux bien (sauf si tu hurles le contraire elle reviendra)

● Relance UsbFix

● Dans le menu principale cette fois choisit l'option2

Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.

Si un message te demande de redémarrer l'ordinateur fais le ...

● Au redémarrage, le fix se relance... laisses l'opération s'effectuer.

● Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

Il est enregistré sur ton bureau.

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Merci

.............

ensuite

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
0
Utilisateur anonyme
17 janv. 2010 à 17:40
je suits
0
Air du temps > Utilisateur anonyme
17 janv. 2010 à 18:06
Rebonjour, Nathandre et Moment de grace

J'ai fait une suppression à l'aide du logiciel Usbfix.
Après l'analyse mon ordi à figé... Le vilain petit canard !

Mais l'analyse indiquait 100 %.

J'ai envoyé le fichier «UsbFix_Upload_Me_RICK-BBO6P085.zip» à l'adresse https://www.ionos.fr/?affiliate_id=77097 pour les aider à avancer.

Voici le log que j'ai récupéré dans « C:\USBFIX.TXT » qui ne s'était pas ouvert pour cause de TEMPÊTE de VERGLAS !

J'attends passionnément la suite.


############################## | UsbFix V6.074 |

User : Richard (Administrateurs) # RICK-BBO6P085
Update on 15/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:27:51 | 2010-01-17
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 2.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 47,02 Go (41,24 Go free) [WXP-Home-P1] # NTFS
D:\ -> Disque fixe local # 28 Go (17,02 Go free) [NTFS Log30-2] # NTFS
E:\ -> Disque amovible # 7,5 Go (4,11 Go free) [KINGSTON] # FAT32
F:\ -> Disque fixe local # 29,29 Go (16,02 Go free) [NTFS Log30-1] # NTFS
G:\ -> Disque amovible # 1,88 Go (961,02 Mo free) [PKBACK# 001] # FAT32
H:\ -> Disque fixe local # 26,99 Go (14,79 Go free) [XOSL-PRI3] # FAT32
J:\ -> Disque CD-ROM
V:\ -> Disque fixe local # 46,08 Go (1,19 Go free) [Video-Pri3] # NTFS
W:\ -> Disque fixe local # 4,09 Go (3,31 Go free) [Swap] # NTFS
X:\ -> Disque fixe local # 4,82 Go (4,36 Go free) [Shur-Gain] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 644
C:\WINDOWS\system32\csrss.exe 900
C:\WINDOWS\system32\winlogon.exe 924
C:\WINDOWS\system32\services.exe 968
C:\WINDOWS\system32\lsass.exe 980
C:\WINDOWS\system32\svchost.exe 1156
C:\WINDOWS\system32\svchost.exe 1224
C:\WINDOWS\System32\svchost.exe 1320
C:\WINDOWS\System32\svchost.exe 1424
C:\WINDOWS\System32\svchost.exe 1532
C:\WINDOWS\system32\logonui.exe 1600
C:\Program Files\AVG\AVG9\avgchsvx.exe 1636
C:\Program Files\AVG\AVG9\avgrsx.exe 1644
C:\WINDOWS\system32\brsvc01a.exe 1680
C:\WINDOWS\system32\brss01a.exe 1760
C:\WINDOWS\system32\spoolsv.exe 1768
C:\WINDOWS\Explorer.EXE 2016
C:\Program Files\AVG\AVG9\avgcsrvx.exe 156
C:\WINDOWS\msb.exe 588
C:\WINDOWS\System32\svchost.exe 672
C:\Program Files\AVG\AVG9\avgwdsvc.exe 704
C:\Program Files\Java\jre6\bin\jqs.exe 784
C:\WINDOWS\System32\nvsvc32.exe 872
C:\WINDOWS\System32\svchost.exe 1420
C:\Program Files\AVG\AVG9\avgnsx.exe 1448
C:\Program Files\AVG\AVG9\avgemc.exe 1588
C:\Program Files\AVG\AVG9\avgcsrvx.exe 1380
C:\WINDOWS\system32\wuauclt.exe 2172
C:\WINDOWS\system32\wbem\wmiprvse.exe 2296
C:\WINDOWS\System32\alg.exe 2672

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\msa.exe
Supprimé ! C:\WINDOWS\msb.exe
Supprimé ! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
Supprimé ! C:\WINDOWS\System32\sshnas21.dll
Supprimé ! C:\DOCUME~1\Richard\LOCALS~1\Temp\a.dat
Supprimé ! C:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004
Non supprimé ! D:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-1003
Supprimé ! D:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-500
Supprimé ! D:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004
Supprimé ! E:\autorun.inf
Supprimé ! F:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-1003
Supprimé ! F:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-500
Supprimé ! F:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004
Supprimé ! G:\i.bat
Supprimé ! G:\autorun.inf
Supprimé ! V:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-1003
Supprimé ! V:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-500
Supprimé ! V:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004
Supprimé ! W:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004
Supprimé ! X:\Recycler\S-1-5-21-1220945662-2139871995-1801674531-1003
Supprimé ! X:\Recycler\S-1-5-21-854245398-839522115-1801674531-1004

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]
Supprimé ! [HKCU\SOFTWARE\XML]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Services\SSHNAS]
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[2008-11-17 18:45|--a------|0] C:\AUTOEXEC.BAT
[2010-01-16 14:10|--ahs----|227] C:\boot.ini
[2003-04-24 07:00|-rahs----|4952] C:\Bootfont.bin
[2008-11-17 18:45|--a------|0] C:\CONFIG.SYS
[2008-11-17 18:45|-rahs----|0] C:\IO.SYS
[2008-11-17 18:45|-rahs----|0] C:\MSDOS.SYS
[2009-10-31 14:24|--a------|2712259] C:\Musique iPaco - Yesterday_John_Lennon_&_Paul_McCartney.mp3.AAC
[2009-07-06 13:42|--a------|69632] C:\nporbit.dll
[2008-11-17 19:46|-rahs----|47564] C:\NTDETECT.COM
[2008-11-17 22:30|-rahs----|252240] C:\ntldr
[2010-01-17 11:32|--a------|4829] C:\UsbFix.txt
[2008-11-29 23:15|--a------|891] D:\cports.cfg
[2008-10-04 03:46|--a------|16902] D:\cports.chm
[2008-10-04 03:40|--a------|46080] D:\cports.exe
[2008-11-29 23:10|--a------|56739] D:\cports.zip
[2009-10-30 20:01|--a------|6502781] D:\Michael Jackson - Beat It.mp3
[2009-10-30 19:50|--a------|6421936] D:\Michael Jackson - Beat It.ogg
[2009-10-30 20:00|--a------|9532925] D:\Michael Jackson - Wanna Be Starting Something.mp3
[2009-10-30 19:51|--a------|9433224] D:\Michael Jackson - Wanna Be Starting Something.ogg
[2007-05-10 21:06|--a------|284] D:\Raccourci vers NTFS-Pri1 (C).lnk
[2008-10-04 03:46|--a------|14831] D:\readme.txt
[1999-04-23 22:22|-r-hs----|222390] E:\IO.SYS
[1999-04-23 22:22|-r-hs----|9] E:\MSDOS.SYS
[1999-04-23 22:22|--a------|93890] E:\COMMAND.COM
[2009-10-11 22:30|--ah-----|0] E:\BOOTLOG.PRV
[2009-10-18 14:55|--ah-----|0] E:\BOOTLOG.TXT
[2009-07-11 11:27|--a------|1786] E:\CONFIG.SAV
[2009-07-11 11:27|--a------|1786] E:\CONFIG.SYS
[2009-07-11 11:20|--a------|2680] E:\AUTOEXEC.BAT
[2009-07-11 11:20|--a------|2680] E:\AUTOEXEC.SAV
[2004-08-04 00:55|--a------|28672] E:\setupSNK.exe
[2009-07-12 09:45|--a------|0] E:\ramdisk.exe
[2010-01-17 11:25|--a------|1568] E:\BOOTEX.LOG
[2006-03-09 07:23|--a------|275039644] F:\Intermission.exe
[2008-02-02 08:37|--a------|275481247] F:\Intermission.zip
[2005-06-15 20:41|--a------|29] F:\Nouveau Document texte.txt
[2009-07-04 20:25|--a------|145] F:\Raccourci vers Lecteur CD.lnk
[1999-04-23 22:22|-r-hs----|222390] G:\IO.SYS
[1999-04-23 22:22|-r-hs----|9] G:\MSDOS.SYS
[1999-04-23 22:22|-r-hs----|93890] G:\COMMAND.COM
[2007-11-10 18:12|--a------|16368] G:\DI1000DD.SYS
[2007-11-10 18:12|--a------|37903] G:\USBASPI.SYS
[2007-11-10 18:12|--a------|3745] G:\XCDROM.SYS
[2007-11-10 18:12|--a------|5612] G:\SHSUCDX.COM
[2007-11-10 18:12|--a------|140300] G:\READNTFS.EXE
[2007-11-10 18:12|--a------|8058] G:\HIMEM.EXE
[2009-08-05 23:35|--ah-----|0] G:\BOOTLOG.TXT
[2009-07-12 10:51|--ah-----|175] G:\BOOTLOG.PRV
[2007-12-17 22:53|--a------|627] G:\AUTOEXEC.BAT
[2007-12-17 22:53|--a------|992] G:\CONFIG.SYS
[2007-10-02 18:51|--a------|407] G:\Config.txt
[2010-01-17 11:27|--a------|9530] G:\BOOTEX.LOG
[2008-11-17 12:19|--a------|44544] G:\na-qcfoin.xls
[2008-11-22 12:43|--a------|193536] G:\ClipBoard.xls
[2009-07-08 08:53|--a------|627] G:\AUTOEXEC.E06
[2009-07-08 08:53|--a------|992] G:\CONFIG.E06
[2009-08-10 15:41|--a------|14182] G:\w0079861.zip
[2008-11-29 18:47|--a------|1239552] G:\PStat-Adhoc-Rapido.xls
[2008-05-01 07:28|--a------|102440] G:\Richard2.ico
[2007-01-11 22:48|--a------|100040] G:\mt170.exe
[2009-08-07 16:18|--a------|81920] G:\CVEtude.xls
[2009-08-11 16:32|--a------|82521] G:\PStat-Limites-Rapido-fe-cu-CA-MEME QC.zip
[2004-08-03 23:01|--a------|25856] G:\usbprint.sys
[2009-04-22 20:07|---h-----|7820] H:\XOSLLOAD.XCF
[2009-04-22 20:07|---h-----|19970] H:\XOSLIMG0.XXF
[2009-04-22 20:07|---h-----|32768] H:\XOSLIMG1.XXF
[2009-04-22 20:07|---h-----|32768] H:\XOSLIMG2.XXF
[2009-04-22 20:07|---h-----|32768] H:\XOSLIMG3.XXF
[2009-04-22 20:07|---h-----|32768] H:\XOSLIMG4.XXF
[2009-04-22 20:07|---h-----|17011] H:\XOSLIMG5.XXF
[2009-04-22 20:07|---h-----|31828] H:\XOSLLOGO.XBF
[2009-04-22 20:07|---h-----|22500] H:\XOSLWALL.XBF
[2009-04-22 20:07|---h-----|31828] H:\SPLASHLG.XBF
[2009-04-22 20:07|---h-----|7936] H:\DEFAULT.XFF
[2009-04-22 20:07|---h-----|8192] H:\EXTRA.XFF
[2009-04-22 20:07|---h-----|512] H:\ORIG_MBR.XCF
[2009-04-22 20:07|---h-----|512] H:\CURR_MBR.XCF
[2009-04-22 20:07|---h-----|512] H:\SBM_IPL0.XCF
[2009-04-22 20:07|---h-----|4096] H:\BOOTITEM.XDF
[2009-04-22 20:07|---h-----|512] H:\XOSLDATA.XDF
[2009-04-22 20:07|---h-----|32768] H:\XRPART00.XXF
[2009-04-22 20:07|---h-----|32768] H:\XRPART01.XXF
[2009-07-07 15:28|--ah-----|0] H:\BOOTLOG.TXT
[2009-07-07 14:47|--ah-----|0] H:\BOOTLOG.PRV
[1999-05-05 22:22|--a------|71102] H:\EDIT.COM
[2007-11-15 03:35|--a------|1471488] H:\D8MO.IMG
[2006-05-29 21:06|--a------|285] H:\Raccourci vers Vid‚o-Pri3 (G).lnk
[?|?|?] W:\pagefile.sys
[2009-01-12 07:32|--a------|63539] X:\Certificats - Utilisateur Actuel.msc
[2008-11-02 12:37|--a------|27316] X:\Console1.msc
[2008-11-22 22:31|--a------|1224192] X:\PStat-Adhoc-Rapido(2008-11-22).xls
[2009-07-06 10:21|--a------|353] X:\Raccourci vers Documents partag‚s.lnk
[2008-11-02 11:11|--a------|1759744] X:\Rapport_v2-MakeCert.doc

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# F:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
# H:\autorun.inf -> Dossier créé par UsbFix.
# V:\autorun.inf -> Dossier créé par UsbFix.
# W:\autorun.inf -> Dossier créé par UsbFix.
# X:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |

"D:\Downloads\04_Utilitaires\Crack\pdfcracker.exe"
2007-05-23 20:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93

"D:\Downloads\04_Utilitaires\Crack\pdfsam-win32inst-v1_1_3.exe"
2009-05-30 10:45 |Size 5370990 |Crc32 a78dcbff |Md5 80f1398fbcd03ff417984ed1ffea0ea4

"H:\Mes documents\MsOffice\Pdf\val‚rie\pdfcracker.exe"
2007-05-23 21:48 |Size 1099204 |Crc32 44f52032 |Md5 e51ed20f72e6178344e073beb1092a93

"H:\Mes documents\Internet\telechargement\Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON.ZIP"
-> Contain : Ahead.NeroMix.v1.4.0.34a.Incl.Keygen-ORiON\Keygen.exe


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Richard\Bureau\UsbFix_Upload_Me_RICK-BBO6P085.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
17 janv. 2010 à 18:18
(je sais que nat va faire la grimace...mais bon...sourire)

Téléchargez MalwareByte's Anti-Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
0
Air du temps
17 janv. 2010 à 20:35
Re bonjour !

Pendant l'utilisation de Malawarebytes'Anti-Malware, l'alerte du bouvlier résident, s'est plaind. Il a détecter des menaces. Quatre fichiers: « Dc5.exe Dc1.exe, Dc7.exe et Dc9.exe. » Ce sont des fichiers que UsbFix avaient mise dans le dossier « C:\Usbfix\Quarantine\C\Recyclers\S-15-21-8542...»

Est-ce que je les suppriment ?

Tu dis que : « Je cherche beaucoup...et maintenant je trouve ! »
Moi je dis : « Je trouve beaucoup et j'expédie beaucoup ! »
Merci de m'aider !
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Voici le rapport de Malwarebytes:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3583
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

2010-01-17 14:07:22
mbam-log-2010-01-17 (14-07-22).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|V:\|W:\|X:\|)
Eléments examinés: 241399
Temps écoulé: 1 hour(s), 40 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Utilisateur anonyme > Air du temps
17 janv. 2010 à 21:36
supprime tout et vide la quarantaine de Malwarebytes
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
17 janv. 2010 à 22:25
ok

comment va le pc ?

relances RSIT et postes juste le rapport log stp
0
Air du temps
19 janv. 2010 à 00:29
Bonjour nathandre

Sous tes conseils judicieux et avec l'aide de AVG j'ai supprimé les fichiers suivants:


"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc9.exe";"Cheval de Troie : Crypt.MID";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc7.exe";"Cheval de Troie : Crypt.MIE";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc5.exe";"Cheval de Troie : Crypt.MIE";"Placé en quarantaine"
"C:\UsbFix\Quarantine\C\RECYCLER\S-1-5-21-854245398-839522115-1801674531-1004.UsbFix\Dc1.exe";"Cheval de Troie : Crypt.MID";"Placé en quarantaine"

Tous venaient du répertoire
C:\UsbFix\Quarantine\C\RECYCLERS-1-5-21-854245398-839522115-1801674531-1004.UsbFix
que le programme UsbFix avait mis en quarantaine.


Malwarebytes'Anti-Malware
A deux fichiers en quarantaine

Date Vendeur Catégorie Eléments Référence #
2010-01-17 Trojan.FakeAlert Registry Jey HKEY_CURRENT_USER\SOFTWARE\BMIMZMHMFM 15172
2010-01-17 Trojan.FakeAlert Registry Key HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY 84486

Que j'ai Tout supprimer !

Merci de tes judicieux conseils nathandre
Je vais maintenant essayer de relancer RSIT et poster le log à moment de grace.
0
Air du temps
19 janv. 2010 à 01:14
Bonsoir moment de grace,

Le PC va mieux car je n'ai plus le message original du système d'exploitation m'avertissant que: « msb.exe a rencontré un problème et doit fermer. »

Par contre mon PC était allumé depuis un bon moment et il a décidé de redémarrer tout seul... Sans mon intervention ! Bizarre ?
Il y a des mystères parfois inexpliqués...

Note: msb.exe n'est plus dans les processus actifs ni dans le dossier C:\Windows (Ah ! Le vilain !)

Simple curiosité docteur, dans le log tu cherche quoi ?


=========================================================
Voici le log obtenu avec RSIT

Logfile of random's system information tool 1.06 (written by random/random)
Run by Richard at 2010-01-18 18:39:24
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 42 GB (88%) free of 48 GB
Total RAM: 511 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:39, on 2010-01-18
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
C:\Program Files\Fichiers communs\VideoMate\ComproSchedulerDTV.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Richard\Bureau\RSIT\RSIT.exe
C:\Program Files\trend micro\Richard.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico\Jetico Personal Firewall\fwsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PidginPortable.exe.lnk = D:\Portable\Pidgin\PidginPortable.exe
O4 - Global Startup: ComproRemote.lnk = C:\Program Files\Fichiers communs\VideoMate\ComproRemote.exe
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://J:\content\include\XPPatchInstaller.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8942.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 janv. 2010 à 05:45
dans le log tu cherche quoi
je cheche des lignes qui pourraient m'indiquer la présence de virus comme dans ton premier log...
et là c'est bon

1)
Cherches et cliques sur C:\Program Files\trend micro\Richard.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')


……………………..

2)
Mets à jour internet explorer
https://support.microsoft.com/fr-fr/allproducts

………….

3)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


……………..

4)
Télécharge ToolsCleaner2sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Tu peux supprimer ToolCleaner ensuite



0
Air du temps
20 janv. 2010 à 04:27
Bonsoir moment de grace,

J'ai fait l'étape 1
1) Cherches et cliques sur C:\Program Files\trend micro\Richard.exe
Au menu principal, choisir do a scan only, puis cocher la case devant les lignes suivantes à corriger et cliquer en bas sur Fix Checked
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - Global Startup: ComproSchedulerDTV.lnk = ?
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Un dossier backup (C:\Program Files\trend micro\backups) est apparu avec des fichiers
8 fichiers avec un fichier raccourci. J'imagine que cela correspond à ce que tu m'a fait cocher ? À quoi sert l'acharnement thérapeutique sur CTFMON.exe ?

J'ai fait l'étape 2
2) Mets à jour internet explorer
Petit problème ici, par contre. J'ai cliqué sur le lien que tu m'avais créé pour mettre à jour Internet Explorer8, mais pendant la mise à jour, AVG a détecté une menace.

Nom du fichier: C:\System Volume Information\Restore{5A5CC59B-2F43-4EF6-9580-75814704649C}RP137\A0050720.dll

Nom de la menace: Cheval de Troie: Dowloader.Generic9.AISF
Détecté à l'ouverture.

Nom du processus:C:\Windows\system32\svchost.exe
ID du processus : 1120

Je l'ai mis en quarantaine: « Ai-je fais une erreur ?
Je n'ai pas osé continuer avec l'étape 3 et 4. Je ne voulais pas agraver mon cas...
J'attends de tes nouvelles

Merci
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
20 janv. 2010 à 06:35
CTFMON.exe

pas tres utile au demarrage du pc

https://www.commentcamarche.net/contents/855-ctfmon-ctfmon-exe

...............

Nom du fichier: C:\System Volume Information\Restore

d'où l'étape 3 pour supprimer les virus cachés dans la retauration systeme (Restore)

...............

étape 4 sert à supprimer les outils de désinfection utilisés
0
Air du temps
20 janv. 2010 à 13:31
Bonjour moment de grace,

Merci pour le lien ctmon, c'était très instructif.

Est-ce que je dois effacer la quarantaine de AVG ?

J'ai fait l'étape 3, mais la boite Restauration du système n'est jamais apparu... Bizarre ?
Par contre j'ai remis après Désactiver la restauration (décoché) !

L'étape 4 a été faite, voici son log

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Richard\Bureau\Rsit: trouvé !
C:\Documents and Settings\Richard\Bureau\RSIT\Rsit.exe: trouvé !
C:\Documents and Settings\Richard\Bureau\Virus\UsbFix.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\Richard\Bureau\RSIT\Rsit.exe: supprimé !
C:\Documents and Settings\Richard\Bureau\Virus\UsbFix.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Richard\Bureau\Rsit: supprimé !
0
Air du temps
20 janv. 2010 à 13:34
Bonjour toi,

Je dois partir pour le travail.

Je ferai tes instruction à mon retour.

Merci de m'aider,

À plus tard
0
Air du temps
20 janv. 2010 à 23:23
Un gros merci,

Pour nathandre et moment de grace.

Votre aide m'a été très précieuse. Lâchez-pas !
0