google en francais Résolu

Question

Bonjour,
j'ai un soucis, quand je veux accéder à www.google.fr je tombe sur la page en anglais et non la page en français. J'ai testé sur firefox et sur ie, sur les deux navigateurs j'ai le même résultat. Ce soucis est arrivé du jour au lendemain, je ne comprend pas trop pourquoi. J'ai vérifié aussi dans mes préférences https://www.google.fr/preferences?hl=fr et je suis bien en français. j'ai le soucis sur mon netbook et ma copine à le même soucis sur son eepc.
en espérant trouvé une réponse ou des conseils, merci d'avance

Little boy62 · Answer

tu vas dans outils -> options -> rubrique général

qu'as tu comme page d'accueil?

sinon tu met -> https://www.google.fr/?gws_rd=ssl

et tu cliques sur OK

bye

cirdec21 · Answer

oui j'ai ça comme page d'accueil mais le soucis c'est que même avec cette url, je suis envoyé sur google en anglais
j'ai essayé de désinstallé firefox et de le réinstaller mais sans succès

crapoulou · Answer

Salut, Essaye de modifier ta page d'accueil en mettant celle-ci : http://www.google.com/intl/fr/

cirdec21 · Answer

ca fonctionne pas, il m'envoi toujours sur la page en anglais

crapoulou · Answer

Le lien n'est pas bien passé, je voulais mettre ceci :

https://www.google.com/?hl=fr&gws_rd=ssl

Je ne sais pas :S

cirdec21 · Answer

je viens de voir que je ne peux plus accéder a gmail en plus
j'ai ça qui s'affiche 

" cette connexion n'est pas certifiée" sur firefox
et sur ie " le certificat de sécurité de ce site web présente un problème"

autre chose j'ai un pc fixe avec vista sur lequel j'arrive bien a avoir google normalement

et dernière chose des plus bizarre, c'est que sur les pc portable qui ont google en anglais, je n'arrive donc pas à accéder à gmail, ni a advanced search et LE COPYRIGHT EST 2009 alors que sur mon pc fixe le copyright de google est bien 2010. Serait ce une fausse page ?

crapoulou · Answer

ça se complique...
Tu as fait une manipulation particulière ?

cirdec21 · Answer

bah non , j'ai rien fait de particulier, j'ai surfé normalement facebook msn google ...
es ce que vous pensez que j'ai chopé un virus qui m'afficherait une fausse page google ?

crapoulou · Answer

Je ne pense pas non, juste un souci de certificat.
Tu pourrais me faire une capture d'écran ?

cirdec21 · Answer

voici la capture écran http://www.cedric-c.com/google.JPG

crapoulou · Answer

Plus le souci de certificat ?!
Aucune idée car tu es bien sur google.fr :S
Depuis quand ce souci ?

cirdec21 · Answer

désolé voici pour le certificat
http://www.cedric-c.com/certificat.JPG

depuis deux jours, trois jours. J'ai aussi chopé un cheval de troie fakewar, j'essaie de le supprimer ça vient peut être de ça

crapoulou · Answer

Clique sur je comprends les risques puis sur ajouter le certificat.

cirdec21 · Answer

http://www.cedric-c.com/2.JPG 
http://www.cedric-c.com/1.bmp

il me met que c'est le mauvais site

crapoulou · Answer

Confirmer l'exception de sécurité ;-)
Pas de souci, c'est uun site Google.

cirdec21 · Answer

ca fonctionne pas 
je tombe sur une page 

Not Found
The requested URL /accounts/ServiceLogin was not found on this server.
Apache/2.2.3 (CentOS) Server at www.google.com Port 443

crapoulou · Answer

Désolé, je ne vois pas trop là.
Si Littleboy a une idée...

Depuis quand ce souci ?

Little boy62 · Answer

tu peux nous dire ce que tu as comme module complémentaire et extensions sur firefox?

bye

cirdec21 · Answer

ça y est c'est bon ça refonctionne correctement
j'ai utilisé ça
https://www.01net.com/404/­tlitaire/fiches/29061.html 
et apparemment c'est revenu à la normal
merci pour votre aide

crapoulou · Answer

Le lien ne passe pas, quel logiciel ?

cirdec21 · Answer

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
il s'appelle HijackThis

crapoulou · Answer

Ok, avec Hijackthis tu as résolu le problème ?
Tu as fait quoi plus précisément car c'est un logiciel de diagnostic du PC à la base: sans manipulation précise tu ne fais rien ...

cirdec21 · Answer

j'ai fait un scann
dans mon rapport j'avais ça 



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:30:24, on 18/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
C:\Program Files\EeePC\ACPI\AsEPCMon.exe
C:\Program Files\EeePC\ACPI\AsTray.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\MAGIC\Application Data\SystemProc\lsass.exe
C:\Program Files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\MAGIC\Mes documents\Téléchargements\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://asus.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 78.159.110.36 www.google.no
O1 - Hosts: 78.159.110.36 www.google.com.mx
O1 - Hosts: 78.159.110.36 www.google.co.za
O1 - Hosts: 78.159.110.36 www.google.fi
O1 - Hosts: 78.159.110.36 www.google.dk
O1 - Hosts: 78.159.110.36 www.google.es
O1 - Hosts: 78.159.110.36 www.google.se
O1 - Hosts: 78.159.110.36 www.google.be
O1 - Hosts: 78.159.110.36 www.google.com
O1 - Hosts: 78.159.110.36 www.google.at
O1 - Hosts: 78.159.110.36 www.google.it
O1 - Hosts: 78.159.110.36 www.google.com.au
O1 - Hosts: 78.159.110.36 search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.com.br
O1 - Hosts: 78.159.110.36 www.google.ca
O1 - Hosts: 78.159.110.36 uk.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.ch
O1 - Hosts: 78.159.110.36 www.google.pt
O1 - Hosts: 78.159.110.36 www.google.gr
O1 - Hosts: 78.159.110.36 www.google.de
O1 - Hosts: 78.159.110.36 www.google.ie
O1 - Hosts: 78.159.110.36 www.google.co.jp
O1 - Hosts: 78.159.110.36 www.google.nl
O1 - Hosts: 78.159.110.36 www.google.fr
O1 - Hosts: 78.159.110.36 us.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.co.uk
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1B3B60BE-99D0-4509-97F9-A0909996A0CB} - c:\windows\system32\qethmln.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AsusACPIServer] C:\Program Files\EeePC\ACPI\AsAcpiSvr.exe
O4 - HKLM\..\Run: [AsusEPCMonitor] C:\Program Files\EeePC\ACPI\AsEPCMon.exe
O4 - HKLM\..\Run: [AsusTray] C:\Program Files\EeePC\ACPI\AsTray.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynAsusAcpi] C:\Program Files\Synaptics\SynTP\SynAsusAcpi.exe
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [LiveUpdate] C:\Program Files\Asus\LiveUpdate\LiveUpdate.exe auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Eee Docking] C:\Program Files\ASUS\Eee Docking\Eee Docking.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\MAGIC\Application Data\SystemProc\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup:  SuperHybridEngine.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Envoyer à Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O20 - Winlogon Notify: cbssreg - C:\Documents and Settings\All Users\Documents\Settings\cbss.dll
O20 - Winlogon Notify: mbqkspri - qethmln.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe





01 correspondant au Détournement du fichier Hosts , je les ai tous supprimé
voici un tuto sur le logiciel
https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#HowToUse

ça ma bien supprimer les détournements vu que j'ai accès à google en francais, mais je sais pas si il a supprimer le cheval de troie

crapoulou · Answer

C'est bien infecté et la cause de tes soucis est bien là !!! J'aurais dû m'en douter ! ******* Télécharge HostsXpert sur ton Bureau : = = = =>>> En cliquant ici <<<= = = = - Décompresse-le (Clic droit => Extraire ici) - Double-clique sur HostsXpert pour le lancer /!\ Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d’erreur. - Clique sur le bouton "Restore MS Hosts File" puis ferme le programme ******* Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu clique dessus pour l’afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

cirdec21 · Answer

voila c'est fait
il m'a supprimer pas mal de chose
voici le rapport 



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3599
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

19/01/2010 22:02:14
mbam-log-2010-01-19 (22-02-14).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 200490
Temps écoulé: 1 hour(s), 11 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{c2b5aab8-2183-4be7-81a6-f11493c45872} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c2b5aab8-2183-4be7-81a6-f11493c45872} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2b5aab8-2183-4be7-81a6-f11493c45872} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{20d98ddb-9603-4ba3-7de8-126cc5ad3286} (Adware.BHO.AR) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{20d98ddb-9603-4ba3-7de8-126cc5ad3286} (Adware.BHO.AR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20d98ddb-9603-4ba3-7de8-126cc5ad3286} (Adware.BHO.AR) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cbssreg (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\AppDataLow\HavingFunOnline (Adware.BHO.FL) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Maryse\Application Data\AntiVirus Plus (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Maryse\Application Data\AntiVirus Plus\AntiVirus Plus.70700.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maryse\Local Settings\Temp\Setup.tmp (Adware.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maryse\Local Settings\Temp\caorxsenwm.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KrjiFzd8C-_A.dll (Adware.BHO.AR) -> Quarantined and deleted successfully.
C:\Documents and Settings\Maryse\Application Data\avp.ico (Rogue.AntiVirusPlus) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Documents\Settings\cbss.dll (Trojan.Agent) -> Delete on reboot.

crapoulou · Answer

En effet, ce n'est pas mal du tout.
Si ce n'est pas déjà fait, redémarre l'ordinateur.
Ensuite, vide la quarantaine de Malwarebytes' Anti Malware.
Poste un nouveau rapport Hijackthis.

cirdec21 · Answer

voila c'est fait 
voici le dernier rapport 
http://www.cedric-c.com/hijackthisnew.txt

crapoulou · Answer

Pour une analyse plus en profondeur : Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt et de info.txt.

cirdec21 · Answer

voila les rapports sur RSIT.exe

http://www.cedric-c.com/log.txt
http://www.cedric-c.com/info.txt

crapoulou · Answer

Affiche les fichiers et dossiers cachés :
Dans Mes documents, Outils, Options des dossiers, Onglet Affichage, coche Afficher les fichiers et dossiers cachés.

******

Analyse ces fichiers :
C:\WINDOWS\system32\7r5R9VED_-_Q5.exe 
C:\WINDOWS\winstart.bat
C:\WINDOWS\mafosav.INI 
Sur le site de Virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.

Poste bien les rapports en indiquant le fichier analysé à chaque fois !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

cirdec21 · Answer

ok voici les différents rapport

7r5R9VED_-_Q5.exe  => http://www.cedric-c.com/1.html
winstart.bat  => http://www.cedric-c.com/2.html
mafosav.INI => http://www.cedric-c.com/3.html

crapoulou · Answer

Avant de poursuivre, comment va le PC ?

cirdec21 · Answer

RAS, aucun soucis apparent

crapoulou · Answer

As-tu bien fait l'étape de HostsXpert ??!

cirdec21 · Answer

oui j'ai fait comme tu m'avais dit plus haut

crapoulou · Answer

Etrange. As-tu Google en Français ? ****** Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …) Télécharge et installe UsbFix de C_XX & El desaparecido : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 1 (Recherche) * Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.

cirdec21 · Answer

oui j'ai bien google en français, 
par contre pour les clés usb et disques dur externes je vais pas les avoir sous la main, 
car le pc appartient a ma belle soeur.
je fais quand même un rapport ?

crapoulou · Answer

Oui mais si elle a des clés USB, elles risquent de réinfecter le PC.
(Cela ne remettra pas Google en anglais mais à chaque insertion de clé USB non infectée, elle le sera après le passage dans l'ordinateur :S)

Deux possibilités :
1) On continue et si besoin, tu me refais signe quand t'as les clés USB
2) On attend que tu ais les clés USB si c'est dans pas longtemps.

Que préfères-tu ?

cirdec21 · Answer

je préfère qu'on continue car je revoie ma belle soeur que dans 3 semaines

crapoulou · Answer

ok alors tu peux poursuivre.

cirdec21 · Answer

c'est chaud en ce moment, pas mal de taf, mais je vais essayé de poursuivre la procédure cette semaine

crapoulou · Answer

Pas de souci.
Si ça se trouve t'auras les clés USB non ?!

cirdec21 · Answer

re
j'ai enfin récupérer la clé usb et le disque dur externe


voici le rapport du pc infecté avec clé et disque dur externe (pc 1)

############################## | UsbFix V6.092 |

User : Maryse (Administrateurs) # ESYRAM
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:39:37 | 07/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 121,23 Go (22,36 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 27,81 Go (24,01 Go free) [RECOVER] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 278,49 Go (113,14 Go free) [MULTIMEDIA1] # FAT32
G:\ -> Disque amovible # 3,84 Go (3,13 Go free) [AZERTY] # NTFS
H:\ -> Disque fixe local # 186,3 Go (123,42 Go free) [MULTIMEDIA2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

D:\driver  
H:avmone.exe  
H:\msvcr71.dll  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{5b65270e-bc31-11de-81da-0015afda93ea}
Shell\AutoRun\command =F:\InstallTomTomHOME.exe 

HKCU\..\..\Explorer\MountPoints2\{d67619d0-29bf-11de-bf63-0015afda93ea}
Shell\AutoRun\command =F:\LaunchU3.exe -a

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.092 ! |



voici le rapport de mon pc perso (je n'ai pas vu de soucis sur le mien, mais vu que c'est mon outil de travail, j'ai préféré faire un scann au passage pour être sur de pas être infecté aussi)

############################## | UsbFix V6.092 |

User : cedric (Administrateurs) # PC-DE-CEDRIC
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:58:46 | 07/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1169 [VPS 090310-0] 4.8.1169 [ Enabled | Updated ]

C:\ -> Disque fixe local # 451,11 Go (40,76 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 14,63 Go (10,6 Go free) [RECOVER] # FAT32
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Programmes2\internet\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Programmes2\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32undll32.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\Pixart\Pac7302\Monitor.exe
C:\Windows\vsnpstd3.exe
C:\Program Files\Common Files\Real\Update_OBealsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Programmes2\internet\Foxmail\Foxmail.exe
C:\Programmes2\adobe\Adobe Photoshop CS3\Photoshop.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

D:\drivers  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{b9b946b8-8e6d-11de-965e-001d927cc104}
shell\AutoRun\command =J:\Toshiba\more4you.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.092 ! |

crapoulou · Answer

Il n'est jamais trop tard... ! lol
Pourquoi l'as tu fais deux fois ?
Pas assez de ports USB ?
Fais ceci avec tous les ports (deux fois si nécessaires) :

********

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

cirdec21 · Answer

le premier rapport (pc1), c'est sur le poste de ma belle soeur (celui contaminé)
le deuxième rapport (pc2), c'est sur mon poste (au cas où je me suis fait contaminé, j'ai rien vu de suspect mais on sait jamais)


voila j'ai donc fait supprimer sur usbfix
rapport pc 1 (par contre antivir me trouve toujours un virus c:/windows\systeme32\liafdar.dll  a chaque fois je fais supprimer mais il revient toujours)


############################## | UsbFix V6.092 |

User : Maryse (Administrateurs) # ESYRAM
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:40:04 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 121,23 Go (22,34 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 27,81 Go (24,01 Go free) [RECOVER] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 278,49 Go (113,14 Go free) [MULTIMEDIA1] # FAT32
G:\ -> Disque amovible # 3,84 Go (3,13 Go free) [AZERTY] # NTFS
H:\ -> Disque fixe local # 186,3 Go (123,42 Go free) [MULTIMEDIA2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-3237340392-506993104-2266869303-1006 
Supprimé ! D:\driver 
Supprimé ! H:\$Recycle.Bin\S-1-5-21-403684094-2428216267-2541866582-1000 
Supprimé ! H:\Recycler\S-1-5-21-1054428854-2861929065-2980282424-1006 
Supprimé ! H:\Recycler\S-1-5-21-2000478354-179605362-839522115-1005 
Supprimé ! H:\Recycler\S-1-5-21-602162358-1580818891-1343024091-500 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5b65270e-bc31-11de-81da-0015afda93ea}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d67619d0-29bf-11de-bf63-0015afda93ea}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[20/08/2008 12:03|--a------|0] C:\AUTOEXEC.BAT 
[21/03/2009 14:20|-rahs----|216] C:\boot.ini 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[20/08/2008 12:03|--a------|0] C:\CONFIG.SYS 
[20/08/2008 12:03|-rahs----|0] C:\IO.SYS 
[20/08/2008 12:03|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[08/02/2010 14:01|--a------|3032] C:\UsbFix.txt 
[27/05/2008 13:12|-rah-----|693] D:\autoexec.bat 
[03/07/2000 09:06|-rah-----|512] D:\WinMe.bin 
[12/08/1998 01:09|-rah-----|20016] D:\xmsdsk.exe 
[25/06/2001 09:54|-rah-----|57856] D:\chkcd.exe 
[15/05/1998 20:01|-rah-----|5431] D:\CHOICE.COM 
[27/06/2000 13:27|-rah-----|96370] D:\Command.com 
[08/02/2007 10:49|-rah-----|112] D:\CONFIG.SYS 
[15/05/1998 20:01|-rah-----|30742] D:\COUNTRY.SYS 
[25/06/2001 08:41|-rah-----|20473] D:\cwsdpmi.exe 
[15/05/1998 20:01|-rah-----|17191] D:\DISPLAY.SYS 
[08/06/2000 17:00|-rah-----|68871] D:\DRVSPACE.BIN 
[15/05/1998 20:01|-rah-----|58870] D:\EGA.CPI 
[08/06/2000 17:00|-rah-----|53767] D:\EXTRACT.EXE 
[08/06/2000 17:00|-rah-----|66060] D:\FDISK.EXE 
[08/06/2000 17:00|-rah-----|8073] D:\FINDCD.EXE 
[23/04/1999 22:22|-rah-----|64425] D:\FLASHPT.SYS 
[15/05/1998 20:01|-rah-----|33447] D:\HIMEM.SYS 
[01/09/2001 13:39|-rah-----|222390] D:\Io.sys 
[01/09/2001 13:39|-rah-----|2048] D:\JO.SYS 
[15/05/1998 20:01|-rah-----|20023] D:\KEYB.COM 
[15/05/1998 20:01|-rah-----|34566] D:\KEYBOARD.SYS 
[15/05/1998 20:01|-rah-----|29815] D:\MODE.COM 
[16/12/1999 03:01|-rah-----|37681] D:\MOUSE.COM 
[27/01/2000 11:14|-rah-----|15] D:\MOUSE.INI 
[08/06/2000 17:00|-rah-----|25473] D:\MSCDEX.EXE 
[08/06/2000 17:00|-rah-----|4] D:\MSDOS.SYS 
[15/05/1998 20:01|-rah-----|41302] D:\OAKCDROM.SYS 
[29/09/2000 14:04|-rah-----|21] D:\REBOOT.COM 
[28/04/1998 18:18|-rah-----|20] D:\RESTART.COM 
[22/12/2006 12:16|-rah-----|2126649] D:\sysb.bin 
[17/11/2008 16:27|--ah-----|177] D:\BOOTLOG.PRV 
[07/05/2007 09:57|-rah-----|93878] D:\logo.sys 
[21/03/2009 20:29|--ah-----|177] D:\BOOTLOG.TXT 
[18/09/2007 10:53|--ah-----|29] D:\REBOOTPC.BAT 
[21/11/2008 02:47|--a------|120] D:\SWCONF.dat 
[08/12/2008 16:25|--a------|4760693] F:\50 cent - get up.mp3 
[24/10/2008 01:45|--a------|6475994] F:\50 Cent - I Get Money(Remix) Ft Diddy & Jay-Z.mp3 
[01/01/2001 07:57|--a------|6718738] F:\Michael Jackson  - We are the world - Lionel Richie, Stevie Wonder, Paul Simon, Tina Turner, Billy Joel, Willie Nelson, Bruce Springstein, Daryl Hall, Huey Lewis,Cyndi Lauper &.mp3 
[18/05/2009 23:51|---hs----|31744] F:\Thumbs.db 
[01/01/2001 05:54|---hs----|3175] F:\AlbumArtSmall.jpg 
[01/01/2001 05:54|---hs----|3175] F:\AlbumArt_{95AD7C16-4348-48DF-96C4-0E08EED64B26}_Small.jpg 
[01/01/2001 05:54|---hs----|16263] F:\Folder.jpg 
[01/01/2001 05:54|---hs----|16263] F:\AlbumArt_{95AD7C16-4348-48DF-96C4-0E08EED64B26}_Large.jpg 
[01/01/2001 05:54|---hs----|382] F:\desktop.ini 
[08/02/2010 14:01|-rahs----|282] G:\autorun.inf 
[14/12/2008 00:53|--a------|66390295552] H:\malin.tib 
[28/07/2009 21:18|---hs----|348160] H:\msvcr71.dll 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix . 
# D:\autorun.inf -> Dossier créé par UsbFix . 
# F:\autorun.inf -> Dossier créé par UsbFix . 
# G:\autorun.inf -> Dossier créé par UsbFix . 
# H:\autorun.inf -> Dossier créé par UsbFix . 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_ESYRAM.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.092 ! |


rapport pc 2


############################## | UsbFix V6.092 |

User : cedric (Administrateurs) # PC-DE-CEDRIC
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:40:30 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz
Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18882
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1169 [VPS 090310-0] 4.8.1169 [ Enabled | Updated ]

C:\ -> Disque fixe local # 451,11 Go (41,09 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 14,63 Go (10,6 Go free) [RECOVER] # FAT32
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Programmes2\internet\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE
C:\oraclexe\app\oracle\product\10.2.0\server\BIN	nslsnr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmes2\internet\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-1073999439-4042438935-1797713252-1000 
Supprimé ! D:\drivers 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{b9b946b8-8e6d-11de-965e-001d927cc104}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[09/02/2009 22:27|--a------|1024] C:\.rnd 
[18/09/2006 22:43|--a------|24] C:\autoexec.bat 
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr 
[26/03/2008 13:20|-ra-s----|8192] C:\BOOTSECT.BAK 
[18/09/2006 22:43|--a------|10] C:\config.sys 
[?|?|?] C:\hiberfil.sys 
[11/10/2008 21:00|-rahs----|0] C:\IO.SYS 
[14/01/2009 23:37|--a------|699] C:\LISEZ-MOI 
[11/10/2008 21:00|-rahs----|0] C:\MSDOS.SYS 
[22/12/2009 18:19|--a------|230432] C:\PA7302.DAT 
[?|?|?] C:\pagefile.sys 
[08/02/2010 13:48|--a------|3723] C:\UsbFix.txt 
[26/03/2008 14:54|--a------|22] D:\SWCONF.DAT 
[28/03/2008 10:48|--a------|49] D:\PASS.RPT 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix . 
# D:\autorun.inf -> Dossier créé par UsbFix . 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-cedric.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.092 ! |

crapoulou · Answer

Envoie les archive sur le site comme demandé.
Tu supprimes ensuite les archive une fois que c'est envoyé.

Revenons au PC de départ.
Envoie un nouveau rapport RSIT pour faire le point stp.

cirdec21 · Answer

j'ai envoyé les archives puis je les ai supprimé

voici les news rapport 

log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Maryse at 2010-02-08 19:38:21
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 23 GB (18%) free of 124 GB
Total RAM: 1013 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:39, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maryse\Bureau\RSIT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\Maryse\Bureau\Maryse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {1356699C-5869-4564-B289-E3E5F29CD429} - c:\windows\system32\liafdar.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: bthvnreu - liafdar.dll (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Program Files\System Control Manager\MSIService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

crapoulou · Answer

Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …) Télécharge et installe UsbFix de C_XX & El desaparecido : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 1 (Recherche) * Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.

cirdec21 · Answer

voici le rapport 


############################## | UsbFix V6.092 |

User : Maryse (Administrateurs) # ESYRAM
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:41:08 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 121,23 Go (22,34 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 27,81 Go (24,15 Go free) [RECOVER] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 278,49 Go (113,14 Go free) [MULTIMEDIA1] # FAT32
H:\ -> Disque fixe local # 186,3 Go (123,62 Go free) [MULTIMEDIA2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\WINDOWS	emp\xtpd.tmp\svchost.exe  
H:\msvcr71.dll  

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix . 
# D:\autorun.inf -> Dossier créé par UsbFix . 
# F:\autorun.inf -> Dossier créé par UsbFix . 
# H:\autorun.inf -> Dossier créé par UsbFix . 

################## | ! Fin du rapport # UsbFix V6.092 ! |

crapoulou · Answer

Nettoyage avec UsbFix : Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir ! *Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 2 (Suppression) * Ton bureau disparaîtra et le PC redémarrera. * Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau. Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) *********** Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu clique dessus pour l’afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

cirdec21 · Answer

voici le rapport usbfix 


############################## | UsbFix V6.092 |

User : Maryse (Administrateurs) # ESYRAM
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:30:02 | 08/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 121,23 Go (22,34 Go free) [BOOT] # NTFS
D:\ -> Disque fixe local # 27,81 Go (24,15 Go free) [RECOVER] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 278,49 Go (113,14 Go free) [MULTIMEDIA1] # FAT32
H:\ -> Disque fixe local # 186,3 Go (123,62 Go free) [MULTIMEDIA2] # NTFS

############################## | Processus actifs |

C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

Supprimé ! C:\WINDOWS	emp\xtpd.tmp\svchost.exe 
Non supprimé ! C:\WINDOWS\System32\sdra64.exe 
Supprimé ! C:\Recycler\S-1-5-21-3237340392-506993104-2266869303-1006 
Supprimé ! H:\Recycler\S-1-5-21-3237340392-506993104-2266869303-1006 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[20/08/2008 12:03|--a------|0] C:\AUTOEXEC.BAT 
[21/03/2009 14:20|-rahs----|216] C:\boot.ini 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[20/08/2008 12:03|--a------|0] C:\CONFIG.SYS 
[20/08/2008 12:03|-rahs----|0] C:\IO.SYS 
[20/08/2008 12:03|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[08/02/2010 21:45|--a------|2551] C:\UsbFix.txt 
[27/05/2008 13:12|-rah-----|693] D:\autoexec.bat 
[03/07/2000 09:06|-rah-----|512] D:\WinMe.bin 
[12/08/1998 01:09|-rah-----|20016] D:\xmsdsk.exe 
[25/06/2001 09:54|-rah-----|57856] D:\chkcd.exe 
[15/05/1998 20:01|-rah-----|5431] D:\CHOICE.COM 
[27/06/2000 13:27|-rah-----|96370] D:\Command.com 
[08/02/2007 10:49|-rah-----|112] D:\CONFIG.SYS 
[15/05/1998 20:01|-rah-----|30742] D:\COUNTRY.SYS 
[25/06/2001 08:41|-rah-----|20473] D:\cwsdpmi.exe 
[15/05/1998 20:01|-rah-----|17191] D:\DISPLAY.SYS 
[08/06/2000 17:00|-rah-----|68871] D:\DRVSPACE.BIN 
[15/05/1998 20:01|-rah-----|58870] D:\EGA.CPI 
[08/06/2000 17:00|-rah-----|53767] D:\EXTRACT.EXE 
[08/06/2000 17:00|-rah-----|66060] D:\FDISK.EXE 
[08/06/2000 17:00|-rah-----|8073] D:\FINDCD.EXE 
[23/04/1999 22:22|-rah-----|64425] D:\FLASHPT.SYS 
[15/05/1998 20:01|-rah-----|33447] D:\HIMEM.SYS 
[01/09/2001 13:39|-rah-----|222390] D:\Io.sys 
[01/09/2001 13:39|-rah-----|2048] D:\JO.SYS 
[15/05/1998 20:01|-rah-----|20023] D:\KEYB.COM 
[15/05/1998 20:01|-rah-----|34566] D:\KEYBOARD.SYS 
[15/05/1998 20:01|-rah-----|29815] D:\MODE.COM 
[16/12/1999 03:01|-rah-----|37681] D:\MOUSE.COM 
[27/01/2000 11:14|-rah-----|15] D:\MOUSE.INI 
[08/06/2000 17:00|-rah-----|25473] D:\MSCDEX.EXE 
[08/06/2000 17:00|-rah-----|4] D:\MSDOS.SYS 
[15/05/1998 20:01|-rah-----|41302] D:\OAKCDROM.SYS 
[29/09/2000 14:04|-rah-----|21] D:\REBOOT.COM 
[28/04/1998 18:18|-rah-----|20] D:\RESTART.COM 
[22/12/2006 12:16|-rah-----|2126649] D:\sysb.bin 
[17/11/2008 16:27|--ah-----|177] D:\BOOTLOG.PRV 
[07/05/2007 09:57|-rah-----|93878] D:\logo.sys 
[21/03/2009 20:29|--ah-----|177] D:\BOOTLOG.TXT 
[18/09/2007 10:53|--ah-----|29] D:\REBOOTPC.BAT 
[21/11/2008 02:47|--a------|120] D:\SWCONF.dat 
[08/12/2008 16:25|--a------|4760693] F:\50 cent - get up.mp3 
[24/10/2008 01:45|--a------|6475994] F:\50 Cent - I Get Money(Remix) Ft Diddy & Jay-Z.mp3 
[01/01/2001 07:57|--a------|6718738] F:\Michael Jackson  - We are the world - Lionel Richie, Stevie Wonder, Paul Simon, Tina Turner, Billy Joel, Willie Nelson, Bruce Springstein, Daryl Hall, Huey Lewis,Cyndi Lauper &.mp3 
[18/05/2009 23:51|---hs----|31744] F:\Thumbs.db 
[01/01/2001 05:54|---hs----|3175] F:\AlbumArtSmall.jpg 
[01/01/2001 05:54|---hs----|3175] F:\AlbumArt_{95AD7C16-4348-48DF-96C4-0E08EED64B26}_Small.jpg 
[01/01/2001 05:54|---hs----|16263] F:\Folder.jpg 
[01/01/2001 05:54|---hs----|16263] F:\AlbumArt_{95AD7C16-4348-48DF-96C4-0E08EED64B26}_Large.jpg 
[01/01/2001 05:54|---hs----|382] F:\desktop.ini 
[14/12/2008 00:53|--a------|66390295552] H:\malin.tib 
[28/07/2009 21:18|---hs----|348160] H:\msvcr71.dll 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix . 
# D:\autorun.inf -> Dossier créé par UsbFix . 
# F:\autorun.inf -> Dossier créé par UsbFix . 
# H:\autorun.inf -> Dossier créé par UsbFix . 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_ESYRAM.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.092 ! |

crapoulou · Answer

Envoie l'archive sur le lien comme demandé stp.

*****

Affiche les fichiers et dossiers cachés ainsi que les fichiers du système :
- Mes documents
- Outils
- Options des dossiers
- Onglet « Affichage »
- Coche Afficher les fichiers et dossiers cachés
- Décoche "Masquer les fichiers protégés du système d’exploitation (recommandé)"

********

Vérifie l'absence ou la présence de ce fichier :
C:\WINDOWS\System32\sdra64.exe 
NE LE LANCE PAS.

cirdec21 · Answer

l'archive est envoyé

et le fichier sdra64.exe est bien présent

le scann Malwarebytes est bientôt terminé

crapoulou · Answer

Ok, merci alors on attend le rapport MBAM.
Tu as fait USBFix et MBAM en même temps ou l'un après l'autre ?
Lequel en premier ?

cirdec21 · Answer

rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3599
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/02/2010 23:52:23
mbam-log-2010-02-08 (23-52-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 189950
Temps écoulé: 1 hour(s), 9 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1356699c-5869-4564-b289-e3e5f29cd429} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bthvnreu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1356699c-5869-4564-b289-e3e5f29cd429} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rnlbdyne (Rootkit.Agent.BO) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Temp/otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Fichier(s) infecté(s):
c:\windows\system32\liafdar.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\rnlbdyne.sys (Rootkit.Agent.BO) -> Delete on reboot.
C:\WINDOWS\Temp\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.

crapoulou · Answer

ça c'est de l'infection !
As-tu redémarré comme demandé à la fin de l'analyse ?

******

Vide la quarantaine de Malwarebytes' anti Malware.

******

Comment va le PC ?

Poste moi un nouveau rapport RSIT stp.

cirdec21 · Answer

rapport/log


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3599
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/02/2010 23:52:23
mbam-log-2010-02-08 (23-52-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 189950
Temps écoulé: 1 hour(s), 9 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1356699c-5869-4564-b289-e3e5f29cd429} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\bthvnreu (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1356699c-5869-4564-b289-e3e5f29cd429} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rnlbdyne (Rootkit.Agent.BO) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Temp/otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Fichier(s) infecté(s):
c:\windows\system32\liafdar.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\rnlbdyne.sys (Rootkit.Agent.BO) -> Delete on reboot.
C:\WINDOWS\Temp\otpnwokq.dat (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.

crapoulou · Answer

tu l'as posté deux fois.
Par conséquent, je te signale juste que je t'ai répondu juste avant pour que tu vois.

cirdec21 · Answer

ok, j'ai bien redémarre le systeme
je vais vider la quarantaine
et ensuite je t'envoi le rapport RSIT

crapoulou · Answer

Je regarderai demain (fin d'après-midi).
Bonne nuit.

cirdec21 · Answer

ok ca marche merci pour ton aide

voici le rapport

Logfile of random's system information tool 1.06 (written by random/random)
Run by Maryse at 2010-02-09 00:07:07
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 23 GB (18%) free of 124 GB
Total RAM: 1013 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07:12, on 09/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Maryse\Bureau\RSIT.exe
C:\Documents and Settings\Maryse\Bureau\Maryse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Program Files\System Control Manager\MSIService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

crapoulou · Answer

Pour supprimer les anciennes versions de Java et télécharger la nouvelle,
Télécharge JavaRa.zip de Paul ‘Prm753’ McLain et Fred de Vries sur ton Bureau :
= = = = =>>> En cliquant ici <<<= = = =
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s’afficher).
* Sélectionne ta langue puis clique sur Select
* Clique sur Recherche de mises à jour
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher
* Autorise le processus à se connecter s’il le demande, clique sur Install et suis les instructions d’installation qui prennent quelques minutes
* L’installation est terminée
* Reviens à l’écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur Ok, puis une deuxième fois sur Ok.
* Un rapport va s’ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l’application.
Note : le rapport se trouve aussi dans C:\ sous le nom

**********

Analyse ces fichiers :

C:\WINDOWS\winstart.bat
C:\comment.htt

Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.

Poste bien les rapports en m’indiquant à chaque rapport envoyé le nom du fichier concerné !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

Allez je file.

cirdec21 · Answer

rapport javara.log

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Feb 09 19:28:49 2010

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Maryse\Application Data\Sun\Java\jre1.6.0_07

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.

cirdec21 · Answer

voici le rapport pour 
C:\WINDOWS\winstart.bat
http://www.virustotal.com/fr/analisis/7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6-1265679240


et pour C:\comment.htt
en faite c'est un dossier dans lequel il y a 
lpt3.Drive_is_protected_against_flash_viruses_by_RegRun

j'ai quand même essayé et du coup j'ai eu ça comme message mais pas de rapport
0 bytes size received / Se ha recibido un archivo vacio

crapoulou · Answer

Envoie ce fichiuer :
C:\WINDOWS\winstart.bat

Ici :
http://uploads.malwarebytes.org/
https://www.avira.com/

******

Supprime ceci :
C:\WINDOWS\winstart.bat
C:\comment.htt

Comment va globalement le PC ?

cirdec21 · Answer

j'ai envoyé le fichier sur les deux url

et j'ai supprimé C:\WINDOWS\winstart.bat 
mais pas C:\comment.htt  car impossible a supprimé

sinon sur le pc il y a toujours des alertes antivir qui s'affiche
c:\avenger\sdra64.exe
c:\systemVolumeInfor...\A0000061.dll
c:\windows\system32\liafdar.dll.bak
c:\windows\system32\drivers\efiyxtnx.sys

là je suis en train de refaire un scann malwarebytes

crapoulou · Answer

Ok, tu le postera quand ce sera terminé.
Mets en quarantaine ce que l'antivirus détecte.

cirdec21 · Answer

voici le rapport 

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3715
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09/02/2010 21:21:07
mbam-log-2010-02-09 (21-21-07).txt

Type de recherche: Examen complet (C:\|D:\|F:\|H:\|)
Eléments examinés: 208167
Temps écoulé: 1 hour(s), 32 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{20d98ddb-9603-4ba3-7de8-126cc5ad3286} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{20d98ddb-9603-4ba3-7de8-126cc5ad3286} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Avenger\otpnwokq.dat (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Avenger\rnlbdyne.sys (Rootkit.Agent.BO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KrjiFzd8C-_A.dll (Adware.BHO) -> Delete on reboot.

crapoulou · Answer

D'où viens cet Avanger ?

cirdec21 · Answer

je sais pas, j'ai juste installé teamviewer5 ce matin , je pense pas qu'il soit infesté d'un virus, j'ai télécharger le fichier directement sur leur site https://www.teamviewer.com/fr/

crapoulou · Answer

Tu ne suis pas une désinfection en parallèle par hasard ...?!

cirdec21 · Answer

non

crapoulou · Answer

Ok.

Clic droit sur ce dossier stp :

C:\Avenger

Propriétés.
Donne moi la date de création stp.

*******

Fais un scan en ligne avec Bitdefender et colle le rapport
= = = = >>> En cliquant ici <<< = = = =

Scan à faire sous Internet Explorer.

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

Poste en réponse le rapport de scan qui se trouve ici C:\windows\bdoscan8\scanres.txt ou bien scanres.html

cirdec21 · Answer

après le scann malwarebytes, j'ai supprimé directement les virus (j'ai pas vu mettre en quarantaine)
la je suis en train de faire le scann bitdefender

crapoulou · Answer

Ok.
Et pour la date de création de Avenger ?

cirdec21 · Answer

bah du coup vu que j'ai supprimé les virus , ça ma supprimé le dossier avenger

crapoulou · Answer

Ok.
Attendons pour BitDefender.

cirdec21 · Answer

j'ai du arrêter car je vais me coucher, je recommencerais demain

crapoulou · Answer

Ok.
Bonne nuit et à demain.

cirdec21 · Answer

voici le rapport

BitDefender Online Scanner
  
  
 
Scan report generated at: Wed, Feb 10, 2010 - 13:40:52
 
 
  
  
 
Scan path: C:\;D:\;E:\;F:\;H:\;
  
  
 
 
  
  
 
Statistics
 
Time
 04:56:20
 
Files
 401929
 
Folders
 8327
 
Boot Sectors
 0
 
Archives
 5207
 
Packed Files
 23932
 
  
  
 
Results
 
Identified Viruses 
 4
 
Infected Files 
 6
 
Suspect Files 
 0
 
Warnings
 0
 
Disinfected
 1
 
Deleted Files
 5
 
  
  
 
Engines Info
 
Virus Definitions
 5034853
 
Engine build
 AVCORE v2.1 Windows/i386 11.0.0.33 (Nov 24 2009)
 
Scan plugins
 17
 
Archive plugins
 44
 
Unpack plugins
 8
 
E-mail plugins
 6
 
System plugins
 4
 
  
  
 
Scan Settings
 
First Action
 Disinfect
 
Second Action
 Delete
 
Heuristics
 Yes
 
Enable Warnings
 Yes
 
Scanned Extensions
 *;
 
Exclude Extensions
  
 
Scan Emails
 Yes
 
Scan Archives
 Yes
 
Scan Packed
 Yes
 
Scan Files
 Yes
 
Scan Boot
 Yes
 
  
  
 
  Scanned File
  Status
 
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bb9dce3.qua=>(Quarantine-8)=>Crack+Keygen\Keygen.exe
 Infected with: Backdoor.Hupigon.169402
 
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bb9dce3.qua=>(Quarantine-8)=>Crack+Keygen\Keygen.exe
 Deleted
 
C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4bb9dce3.qua=>(Quarantine-8)
 Update failed
 
C:\Documents and Settings\Maryse\Mes documents\harry\Nouveau dossierzr-hpbp.UpByNOx.For.AK-TEAM.iso=>Razor1911/Keygen.exe
 Infected with: Backdoor.Hupigon.169402
 
C:\Documents and Settings\Maryse\Mes documents\harry\Nouveau dossierzr-hpbp.UpByNOx.For.AK-TEAM.iso=>Razor1911/Keygen.exe
 Deleted
 
C:\Documents and Settings\Maryse\Mes documents\harry\Nouveau dossierzr-hpbp.UpByNOx.For.AK-TEAM.iso
 Update failed
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\lo\Roller.Coaster.Tycoon.3.delire.aquatique.iso=>crack/hlm-intro.exe
 Infected with: Trojan.Generic.1235904
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\lo\Roller.Coaster.Tycoon.3.delire.aquatique.iso=>crack/hlm-intro.exe
 Deleted
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\lo\Roller.Coaster.Tycoon.3.delire.aquatique.iso
 Update failed
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\Roller.Coaster.Tycoon.3.delire.aquatique.iso=>crack/hlm-intro.exe
 Infected with: Trojan.Generic.1235904
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\Roller.Coaster.Tycoon.3.delire.aquatique.iso=>crack/hlm-intro.exe
 Deleted
 
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3\Roller.Coaster.Tycoon.3.delire.aquatique.iso
 Update failed
 
C:\WINDOWS\system32\liafdar.dll.bak
 Infected with: Gen:Trojan.Heur.gq8@ya6KeXji
 
C:\WINDOWS\system32\liafdar.dll.bak
 Disinfection failed
 
C:\WINDOWS\system32\liafdar.dll.bak
 Deleted
 
F:\Saved	aka danser 2009.mp3
 Infected with: Trojan.Wimad.Gen.1
 
F:\Saved	aka danser 2009.mp3
 Disinfected

cirdec21 · Answer

par contre, j'avais aucun bouton pour supprimer ou mettre en quarantaine. J'espère qu'il a supprimé les virus qu'il a détecté ??!!

crapoulou · Answer

Oui il a supprimé.

Supprime aussi ceci :
C:\Documents and Settings\Maryse\Mes documents\harry\Nouveau dossier
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3

Les jeux crackés : vive l'infection !

********

On est d'accord, ce dossier n'existe pas ?!
C:\Avenger

********

Vide la quarantaine de MBAM.
Fais moi un topo sur l'état du PC stp.

cirdec21 · Answer

ok j'ai supprimé 
C:\Documents and Settings\Maryse\Mes documents\harry\Nouveau dossier
C:\Documents and Settings\Maryse\Mes documents\Roller Coaster Tycoon 3 

le C:\Avenger n'existe plus

sinon RAS au niveau alert

crapoulou · Answer

Ok, on va donc passer à la fin de la désinfection.

Poste un nouveau rapport RSIT stp.

cirdec21 · Answer

rapport RSIT



Logfile of random's system information tool 1.06 (written by random/random)
Run by Maryse at 2010-02-10 20:13:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 30 GB (24%) free of 124 GB
Total RAM: 1013 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:52, on 10/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Maryse\Bureau\RSIT.exe
C:\Documents and Settings\Maryse\Bureau\Maryse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\HomeCinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Ouvrir dans WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Program Files\System Control Manager\MSIService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

crapoulou · Answer

Avant, il faudrait supprmer ceci :
C:\comment.htt
Essaye en mode sans échec.

(Pou le mode sans échec : F5 ou F8 au démarrage)...

********
Analyse ce fichier :
C:\WINDOWS\system32\7r5R9VED_-_Q5.exe
Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.

Poste bien le rapport.

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

cirdec21 · Answer

voici le rapport sur le fichier
C:\WINDOWS\system32\7r5R9VED_-_Q5.exe
http://www.virustotal.com/fr/analisis/5ebc3aff5950f0dcbf8c4e74efa21e410fa3d7d94c50c4de01d466ec3602368f-1265668316

par contre j'ai pas réussi a supprimé le dossier C:\comment.htt
en mode sans échec, j'avais pas d'option pour supprimer un dossier

crapoulou · Answer

Fichier Ne3LZ--qC39x3O.exe reçu le 2010.02.08 22:31:56 (UTC)
Tu as bien analysé ton fichier ou c'est un ancien rapport ?
(Réanalyser le fichier maintenant si besoin !)

*******

Clic droit supprimer n'était pas présent ?
Ou la touche suppr de ton clavier...

cirdec21 · Answer

non c'était le bon lien 
enfin je l'ai refait
http://www.virustotal.com/fr/analisis/5ebc3aff5950f0dcbf8c4e74efa21e410fa3d7d94c50c4de01d466ec3602368f-1265886579

sinon pour C:\comment.htt 
j'ai bien "supprimer" au niveau du clic droit
mais ensuite j'ai un message 
"impossible de supprimer lpt3.Drive_is_protected_against_flash_viruses_by_regRun : le fichier spécifié est introuvable.
Vérifiez que le chemin et le nom de fichier spécifiés sont corrects."

cirdec21 · Answer

bon bah nouveau problème 
j'ai voulu utiliser la Méthode via MSCONFIG pour redémarre en mode sans échec (https://blog.sosordi.net/category/articles
et maintenant à chaque fois il bloque sur le logo windows xp au démarrage

crapoulou · Answer

Ne redémarre pas en mode sans échec via MSConfig ! Évite cette méthode car lors d'une infection particulières (Bagle par exemple), ton ordinateur redémarrerait en boucle sans pouvoir faire quoi que ce soit ! ****** /!\ Procédure réservée à ????????. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\ Télécharge OTM (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, double-clique sur OTMoveIt.exe pour le lancer. Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Procedure is: :Files C:\comment.htt :Commands [purity] [emptytemp] [Reboot] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s’affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

cirdec21 · Answer

oui c'est bien ça, je suis bloqué au démarrage
et je viens juste de voir le message 
/!\ Avertissement
Ne surtout pas appliquer cette méthode si votre PC est infecté ! Et quel quoi soit le type d'infection .
En effet, vous pouvez rester coincé(e) dans une boucle infernale en procédant de la sorte ( redémarrage en boucle du PC ). 
sur cette page https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/

donc en résumé je viens de lancé un restauration du système,
comme ça je vais l'avoir comme en sortit d'usine
J'ai pas fait ça plus tôt car il y a avait des données à garder, mais maintenant j'ai plus le choix

cirdec21 · Answer

ça y est c'est fait, c'est formaté et tout propre ^^ , mais bon dégouté de pas avoir pu garder les données. C'est comme ça.
Aurais tu des conseils pour protéger au mieux le pc de ma belle soeur (et puis à la même occasion le mien ;) )
Je vais lui réinstaller antivir à la place d'avast,mais aurait il d'autre logiciel qui pourrait securisé le pc ??

crapoulou · Answer

1) Ces données sont très importantes ou pas ?

2) Il ne démarre plus en mode normal ??!

cirdec21 · Answer

non il ne démarrai plus en mode normal, il restait bloqué sur l'icone windows 
du coup j'ai formaté le pc

crapoulou · Answer

Ok, radical.
C'est tout bon là ?

cirdec21 · Answer

bah oui radical, mais je pense pas qu'il y avait grand chose à faire, et puis il était tellement infecté de toute façon que au moins on est sur qu'il soit nikel

crapoulou · Answer

c'est plus propre comme ça, t'as bien fait ;-).

T'as réinstaller tes logiciels de sécurité ?!

cirdec21 · Answer

bah justement a part antivir, qu'es ce que je pourrais installer qui pourrait lui sécurisé un max son pc ?

crapoulou · Answer

Un parefeu. Installe un pare feu car celui de Windows n’est pas suffisant. ZoneAlarm : = = = = >>> En cliquant ici <<< = = = = Un tutorial pour le configurer = = = = >>> En cliquant ici <<< = = = = ******** Si ZoneAlarm te cause des soucis, désinstalle le et tu as le choix : Online Armor, Comodo, ... Réinstalle MBAM, mets le à jour et fais une analyse de temps en temps. Je file, à demain et bonne nuit.

cirdec21 · Answer

merci pour tes conseils 
bonne nuit

crapoulou · Answer

Merci et pas de quoi :o).

En attendant l'optimisation de ton "nouveau" PC, tu peux passer le topic en "Résolu" ;-).
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Google en francais - Page 1

Discussions similaires

Newsletters