Rapport usbfix suite infection CKVO

Résolu
Weby -  
 Weby -
Bonjour,

Suite à une infection du virus CKVO j'ai suivi les indications de ce post : https://forums.commentcamarche.net/forum/affich-8087886-virus-amvo-exe-ckvo-exe

Maintenant après avoir lancé usbfix j'aimerai savoir quels fichier je dois et ne dois pas supprimer suite à ce rapport :

############################## | UsbFix V6.084 |

User : HP_Administrateur (Administrateurs) # SARAH
Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:46:49 | 01/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2050 @ 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1229 [VPS 080930-0] 4.8.1229 [ Enabled | (!) Outdated ]
FW : Norton Internet Worm Protection[ (!) Disabled ]2006

C:\ -> Disque fixe local # 291,29 Go (38,87 Go free) [HP PAVILION] # NTFS
D:\ -> Disque fixe local # 6,78 Go (802,89 Mo free) [HP RECOVERY] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque CD-ROM # 650,17 Mo (0 Mo free) [Sims2_1] # CDFS
K:\ -> Disque CD-ROM # 140,12 Mo (0 Mo free) [World og Goo] # CDFS
L:\ -> Disque CD-ROM # 680 Mo (0 Mo free) [CITYLIFE_1] # CDFS
M:\ -> Disque CD-ROM # 720,25 Mo (0 Mo free) [HT] # CDFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 760
C:\WINDOWS\system32\csrss.exe 972
C:\WINDOWS\system32\winlogon.exe 996
C:\WINDOWS\system32\services.exe 1040
C:\WINDOWS\system32\lsass.exe 1052
C:\WINDOWS\system32\svchost.exe 1208
C:\WINDOWS\system32\svchost.exe 1256
C:\WINDOWS\System32\svchost.exe 1296
C:\WINDOWS\system32\svchost.exe 1416
C:\WINDOWS\system32\svchost.exe 1456
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1688
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1748
C:\WINDOWS\system32\spoolsv.exe 272
C:\WINDOWS\system32\svchost.exe 364
C:\Program Files\a-squared Free\a2service.exe 472
C:\WINDOWS\Explorer.EXE 480
C:\WINDOWS\eHome\ehRecvr.exe 676
C:\WINDOWS\eHome\ehSched.exe 780
C:\WINDOWS\system32\ezNTSvc.exe 804
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 904
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 924
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1324
C:\WINDOWS\system32\nvsvc32.exe 1500
C:\WINDOWS\system32\svchost.exe 1800
C:\WINDOWS\system32\svchost.exe 520
C:\WINDOWS\ehome\mcrdsvc.exe 1856
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe 1636
C:\WINDOWS\ehome\ehtray.exe 2820
C:\WINDOWS\RTHDCPL.EXE 2840
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe 2848
C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe 2876
C:\WINDOWS\system32\rundll32.exe 2916
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe 3180
C:\Program Files\DAEMON Tools\daemon.exe 3256
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 3416
C:\Program Files\MessengerPlus! 3\MsgPlus.exe 3500
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe 3548
C:\WINDOWS\vsnpstd2.exe 3556
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe 3568
C:\Program Files\Picasa2\PicasaMediaDetector.exe 3588
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe 3632
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3784
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe 3968
C:\WINDOWS\system32\ctfmon.exe 4000
C:\Documents and Settings\HP_Administrateur\HP_Administrateur.exe 4012
C:\WINDOWS\eHome\ehmsas.exe 4036
C:\WINDOWS\system32\wscntfy.exe 372
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 636
C:\WINDOWS\system32\dllhost.exe 2160
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2196
C:\WINDOWS\System32\alg.exe 2508
C:\HP\KBD\KBD.EXE 2972
C:\WINDOWS\system32\wuauclt.exe 3172
c:\windows\system\hpsysdrv.exe 2172
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe 3340
C:\Program Files\Real\RealPlayer\RealPlay.exe 2904
C:\Program Files\Mozilla Firefox\firefox.exe 3832
C:\WINDOWS\system32\wbem\wmiprvse.exe 836

################## | Elements infectieux |

C:\Documents and Settings\HP_Administrateur\HP_Administrateur.exe
C:\WINDOWS\System32\autorun.inf
C:\WINDOWS\System32\ckvo.exe
C:\WINDOWS\System32\ckvo0.dll
C:\WINDOWS\System32\ckvo1.dll
C:\delautorun.bat
C:\xih9.cmd
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\xih9.cmd" ( Présent ! )
D:\xih9.cmd
J:\autorun.inf
K:\autorun.inf
L:\autorun.inf
M:\autorun.inf

################## | MD5 |

C:\Documents and Settings\HP_Administrateur\HP_Administrateur.exe

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HP_Administrateur"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"
[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
[HKCR\CLSID\MADOWN]
[HKLM\software\microsoft\shared tools\msconfig\startupreg\kamsoft]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0368e38c-984c-11dd-820f-0014a5f71472}
Shell\AutoRun\command =N:\xih9.cmd
Shell\explore\Command =N:\xih9.cmd
Shell\open\Command =N:\xih9.cmd

HKCU\..\..\Explorer\MountPoints2\{1b0a0601-9e16-11dd-8213-0014a5f71472}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{8b7ae9cd-c2c6-11dc-814e-0014a5f71472}
Shell\AutoRun\command =P:\xih9.cmd
Shell\explore\Command =P:\xih9.cmd
Shell\open\Command =P:\xih9.cmd

HKCU\..\..\Explorer\MountPoints2\{98f1862f-9bcf-11db-806c-0014a5f71472}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{ab1ae4da-bf10-11dd-821f-0018f38811a2}
Shell\AutoRun\command =N:\xih9.cmd
Shell\explore\Command =N:\xih9.cmd
Shell\open\Command =N:\xih9.cmd

HKCU\..\..\Explorer\MountPoints2\{ab1ae569-bf10-11dd-821f-0014a5f71472}
Shell\AutoRun\command =N:\xih9.cmd
Shell\explore\Command =N:\xih9.cmd
Shell\open\Command =N:\xih9.cmd

HKCU\..\..\Explorer\MountPoints2\{cf219902-8bf8-11dd-8206-0014a5f71472}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL hP_aDMINisTrateuR.EXE

HKCU\..\..\Explorer\MountPoints2\{f819007e-6cfc-11dc-80fe-0014a5f71472}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | ! Fin du rapport # UsbFix V6.084 ! |

Merci d'avance de votre réponse
Configuration: Windows XP
Firefox 3.0.15

9 réponses

  1. archet9
     
    Bonjour,

    Maintenant après avoir lancé usbfix j'aimerai savoir quels fichier je dois et ne dois pas supprimer suite à ce rapport 
    :

    ==> USBFIX le fera (et mieux) à ta place......option 2 suppression !

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
    • Double clic sur le raccourci UsbFix présent sur ton bureau

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    • Ton bureau disparaitra et le pc redémarrera .

    • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    • Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    a+
    0
  2. Weby
     
    Salut,
    Merci de ta réponse. Voila le rapport

    ############################## | UsbFix V6.084 |

    User : HP_Administrateur (Administrateurs) # SARAH
    Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 12:27:10 | 01/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Genuine Intel(R) CPU T2050 @ 1.60GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1229 [VPS 080930-0] 4.8.1229 [ Enabled | (!) Outdated ]
    FW : Norton Internet Worm Protection[ (!) Disabled ]2006

    C:\ -> Disque fixe local # 291,29 Go (38,83 Go free) [HP PAVILION] # NTFS
    D:\ -> Disque fixe local # 6,78 Go (802,89 Mo free) [HP RECOVERY] # FAT32
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque CD-ROM # 650,17 Mo (0 Mo free) [Sims2_1] # CDFS
    K:\ -> Disque CD-ROM # 140,12 Mo (0 Mo free) [World og Goo] # CDFS
    L:\ -> Disque CD-ROM # 680 Mo (0 Mo free) [CITYLIFE_1] # CDFS
    M:\ -> Disque CD-ROM # 720,25 Mo (0 Mo free) [HT] # CDFS

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 916
    C:\WINDOWS\system32\csrss.exe 992
    C:\WINDOWS\system32\winlogon.exe 1016
    C:\WINDOWS\system32\services.exe 1060
    C:\WINDOWS\system32\lsass.exe 1072
    C:\WINDOWS\system32\svchost.exe 1232
    C:\WINDOWS\system32\svchost.exe 1284
    C:\WINDOWS\System32\svchost.exe 1428
    C:\WINDOWS\system32\svchost.exe 1556
    C:\WINDOWS\system32\svchost.exe 1600
    C:\WINDOWS\system32\logonui.exe 1700
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1828
    C:\Program Files\Alwil Software\Avast4\ashServ.exe 1884
    C:\WINDOWS\system32\userinit.exe 252
    C:\WINDOWS\Explorer.EXE 276
    C:\WINDOWS\system32\spoolsv.exe 708
    C:\WINDOWS\system32\svchost.exe 948
    C:\Program Files\a-squared Free\a2service.exe 1036
    C:\WINDOWS\eHome\ehRecvr.exe 1320
    C:\WINDOWS\eHome\ehSched.exe 1388
    C:\WINDOWS\system32\ezNTSvc.exe 1408
    C:\WINDOWS\eHome\ehRec.exe 1468
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe 1732
    C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE 1768
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 1912
    C:\WINDOWS\system32\nvsvc32.exe 304
    C:\WINDOWS\system32\svchost.exe 536
    C:\WINDOWS\system32\svchost.exe 752
    C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe 1536
    C:\WINDOWS\ehome\mcrdsvc.exe 884
    C:\WINDOWS\system32\wbem\wmiprvse.exe 2380
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2524
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2640
    C:\WINDOWS\system32\dllhost.exe 2692
    C:\WINDOWS\system32\wscntfy.exe 2936
    C:\WINDOWS\System32\alg.exe 2956

    ################## | Elements infectieux |

    Supprimé ! C:\Documents and Settings\HP_Administrateur\HP_Administrateur.exe
    Supprimé ! C:\WINDOWS\System32\autorun.inf
    Supprimé ! C:\WINDOWS\System32\ckvo.exe
    Supprimé ! C:\WINDOWS\System32\ckvo0.dll
    Supprimé ! C:\WINDOWS\System32\ckvo1.dll
    Supprimé ! C:\delautorun.bat
    Supprimé ! C:\xih9.cmd
    Supprimé ! C:\Recycler\S-1-5-21-1448627817-1311641695-3416999523-1007
    D:\autorun.inf -> fichier appelé : "D:\xih9.cmd" ( Présent ! )
    Supprimé ! D:\xih9.cmd
    Supprimé ! D:\autorun.inf
    Non supprimé ! J:\autorun.inf
    Non supprimé ! K:\autorun.inf
    Non supprimé ! L:\autorun.inf
    Non supprimé ! M:\autorun.inf

    ################## | MD5 |

    Supprimé ! C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP536\A0295656.exe

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HP_Administrateur"
    Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "MSConfig"
    Supprimé ! [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
    Supprimé ! [HKLM\software\microsoft\shared tools\msconfig\startupreg\kamsoft]
    Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{0368e38c-984c-11dd-820f-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{1b0a0601-9e16-11dd-8213-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{8b7ae9cd-c2c6-11dc-814e-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{98f1862f-9bcf-11db-806c-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{ab1ae4da-bf10-11dd-821f-0018f38811a2}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{ab1ae569-bf10-11dd-821f-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{cf219902-8bf8-11dd-8206-0014a5f71472}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{f819007e-6cfc-11dc-80fe-0014a5f71472}\Shell\Auto\Command

    ################## | Listing des fichiers présent |

    [26/09/2006 04:57|--ah-----|100] C:\AUTOEXEC.BAT
    [29/12/2006 16:59|-rahs----|211] C:\BOOT.BAK
    [01/02/2010 10:50|-rahs----|289] C:\boot.ini
    [09/08/2004 22:00|-rahs----|4952] C:\Bootfont.bin
    [09/08/2004 22:00|-rahs----|263488] C:\cmldr
    [10/10/2005 12:34|--ah-----|0] C:\CONFIG.SYS
    [?|?|?] C:\hiberfil.sys
    [15/01/2008 12:05|--a------|230424] C:\img2-001.raw
    [10/10/2005 12:34|-rahs----|0] C:\IO.SYS
    [09/07/2007 20:46|--a------|44] C:\MDO.CFG
    [10/10/2005 12:34|-rahs----|0] C:\MSDOS.SYS
    [09/08/2004 22:00|-rahs----|47564] C:\NTDETECT.COM
    [09/08/2004 22:00|-rahs----|251712] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [31/10/2005 16:56|--a------|700416] C:\StubInstaller.exe
    [01/02/2010 12:48|--a------|5619] C:\UsbFix.txt
    [27/07/2001 08:07|---hs----|0] D:\AUTOEXEC.BAT
    [09/01/2002 18:52|---hs----|244] D:\BOOT.INI
    [16/08/2001 11:26|---hs----|237728] D:\CMLDR
    [28/07/2001 06:07|---hs----|0] D:\CONFIG.SYS
    [24/05/2005 20:48|---hs----|102] D:\Desktop.ini
    [10/09/2002 02:21|---hs----|7850] D:\Folder.htt
    [17/06/2001 09:31|---hs----|0] D:\GRAPH
    [25/01/2002 02:21|---hs----|0] D:\GRAPH16
    [29/11/2004 21:01|---hs----|73728] D:\Info.exe
    [28/07/2001 06:07|---hs----|0] D:\IO.SYS
    [28/07/2001 06:07|---hs----|0] D:\MSDOS.SYS
    [25/07/2001 22:00|---hs----|45124] D:\NTDETECT.COM
    [25/07/2001 22:00|---hs----|222880] D:\NTLDR
    [09/09/2002 23:58|---hs----|181616] D:\protect.ed
    [25/09/2006 23:36|---hs----|36] D:\SAVEFILE.DIR
    [08/02/2002 01:44|---hs----|88038] D:\Warning.bmp
    [26/09/2006 00:07|---hs----|926] D:\MASTER.LOG
    [17/08/2001 00:32|---hs----|0] D:\Ntfs
    [23/05/2001 13:19|---hs----|0] D:\Svga
    [18/08/2001 00:00|---hs----|10] D:\Win51
    [21/01/2001 23:00|---hs----|11] D:\Win51.b2
    [25/07/2001 00:00|---hs----|11] D:\Win51.rc1
    [25/07/2001 05:47|---hs----|11] D:\Win51.rc2
    [18/08/2001 00:00|---hs----|10] D:\Win51ic
    [19/03/2001 23:00|---hs----|11] D:\Win51ic.b2
    [25/07/2001 00:00|---hs----|11] D:\Win51ic.rc1
    [25/07/2001 00:00|---hs----|11] D:\Win51ic.rc2
    [17/08/2001 00:00|---hs----|10] D:\Win51ip
    [21/01/2001 23:00|---hs----|11] D:\Win51ip.b2
    [25/07/2001 05:47|---hs----|11] D:\Win51ip.rc2
    [16/08/2001 22:17|---hs----|184] D:\Winbom.ini
    [26/09/2006 00:06|---hs----|6] D:\BLOCK.RIN
    [26/09/2006 00:10|---hs----|0] D:\USER
    [18/08/2004 09:56|-r-------|2048] J:\00000001.TMP
    [18/08/2004 09:37|-r-------|317440] J:\00000002.TMP
    [18/08/2004 09:37|-r-------|663552] J:\AutoRun.exe
    [18/08/2004 09:33|-r-------|598016] J:\AutoRunGUI.dll
    [18/08/2004 09:33|-r-------|10134] J:\Sims2.ico
    [18/08/2004 09:54|-r-------|83] J:\autorun.inf
    [18/08/2004 09:54|-r-------|294] J:\common_filelist.txt
    [18/08/2004 09:49|-r-------|598195583] J:\compressed.zip
    [18/08/2004 09:54|-r-------|36] J:\cs_filelist.txt
    [18/08/2004 09:54|-r-------|40] J:\da_filelist.txt
    [18/08/2004 09:54|-r-------|40] J:\de_filelist.txt
    [18/08/2004 09:37|-r-------|331776] J:\eauninstall.exe
    [18/08/2004 09:54|-r-------|44] J:\en-uk_filelist.txt
    [18/08/2004 09:54|-r-------|40] J:\es_filelist.txt
    [18/08/2004 09:54|-r-------|41] J:\fi_filelist.txt
    [18/08/2004 09:54|-r-------|42] J:\fr-fr_filelist.txt
    [18/08/2004 09:54|-r-------|40] J:\it_filelist.txt
    [18/08/2004 09:54|-r-------|38] J:\nl_filelist.txt
    [18/08/2004 09:54|-r-------|42] J:\no_filelist.txt
    [18/08/2004 09:54|-r-------|39] J:\pl_filelist.txt
    [18/08/2004 09:54|-r-------|57] J:\pt-br_filelist.txt
    [18/08/2004 09:54|-r-------|46] J:\pt-pt_filelist.txt
    [18/08/2004 09:33|-r-------|110592] J:\setup.exe
    [18/08/2004 09:54|-r-------|41] J:\sv_filelist.txt
    [11/10/2008 00:02|-r-------|27] K:\Autorun.inf
    [11/10/2008 00:01|-r-------|65231060] K:\Setup.exe
    [23/02/2006 15:51|-r-------|225280] L:\Autorun.exe
    [23/02/2006 15:51|-r-------|0] L:\CD1.dat
    [23/02/2006 15:51|-r-------|3262] L:\CityLife.ico
    [02/03/2006 18:19|-r-------|280794] L:\Setup.exe
    [02/03/2006 18:34|-r-------|557403012] L:\Setup_CD1.exe
    [02/03/2006 18:19|-r-------|245189] L:\Setup_OnHD.exe
    [23/02/2006 15:51|-r-------|50] L:\autorun.inf
    [23/02/2006 15:51|-r-------|552] L:\setup.ini
    [23/02/2006 15:51|-r-------|245408] L:\unicows.dll
    [10/05/2007 20:46|-r-h-----|94208] M:\HospitalInstall.dat
    [10/05/2007 19:48|-r-h-----|480] M:\HospitalInstall.dat.manifest
    [15/05/2007 07:06|-r-------|285601422] M:\InstallData.dat
    [10/05/2007 20:55|-r-------|790528] M:\autorun.exe
    [24/04/2007 20:47|-r-------|45] M:\autorun.inf

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.
    # D:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SARAH.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.084 ! |
    0
  3. archet9
     
    Pour ameliorer l'outil que tu viens d'utiliser :
    Fais ceci stp

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_SARAH.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.084 ! |

    Puis:

    Télécharge RSIT (de random/random) sur le bureau :

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur "Continue" dans la fenêtre
    - RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l’analyse .

    Les rapports sont dans le dossier ici C:\rsit
    a+

    0
  4. Weby
     
    et voila le contenu du log :)

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by HP_Administrateur at 2010-02-01 13:38:31
    Microsoft Windows XP Professionnel Service Pack 2
    System drive C: has 40 GB (13%) free of 298 GB
    Total RAM: 1023 MB (47% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:40:18, on 01/02/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16915)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\ezNTSvc.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\HP_Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\HP_Administrateur.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://fr.search.yahoo.com/?fr=cb-hp06
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://fr.search.yahoo.com/?fr=cb-hp06
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"
    O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
    O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
    O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
    O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe (file missing)
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
    O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Intel(R) Quick Resume technology (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
    O23 - Service: EasyBits Magic Desktop Services for Windows NT (ezntsvc) - EasyBits Software Corp. - C:\WINDOWS\system32\ezNTSvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. archet9
     
    Ok

    Vas dans C:\Program Files\trend micro\HP_Administrateur.exe
    et clic sur Administrateur.exe

    ==> Cela va ouvrir HIJACKTHIS

    Au menu pricipal choisis "Do a system can only"
    et coches (coches) ces lignes :
    Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
    O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

    Appuies sur "FIX CHECKED"
    et redémarres le pc...

    Ensuite:

    Fais un scan avec cet antispyware :
    Malwarebytes + tutoriel

    Tu l´installes; mets le a jour...(onglet mise a jour)
    Click maintenant sur l´onglet recherche et coche la case :
    "Executer un examen rapide".
    Puis click sur "rechercher".
    Laisses le scanner le pc...
    A la fin du scan, clique sur Afficher les résultats
    Si des elements on ete trouvés :
    > click sur supprimer la selection
    .
    si il t´es demandé de redemarrer > click sur "oui".
    A la fin un rapport va s´ouvrir;
    sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
    Copies et colles le rapport stp.

    a+

    0
  7. Weby
     
    ok j'ai fait la 1ere partie mais je doit partir, je téléchargerai l'antispyware ce soir en rentrant et je posterais le rapport.
    Merci beaucoup à toi en tout cas :)
    0
  8. Weby
     
    Bonsoir :)

    Voilà le rapport du MalwareByte's:

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3674
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 7.0.5730.13

    01/02/2010 21:27:53
    mbam-log-2010-02-01 (21-27-53).txt

    Type de recherche: Examen rapide
    Eléments examinés: 127998
    Temps écoulé: 7 minute(s), 18 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  9. archet9
     
    Ok...

    Comment se comporte le pc ?
    Toujours des détections ?

    ==> Donnes des nouvelles STP.....

    a+
    0
  10. Weby
     
    Non, pour l'instant, tout à l'air d'aller parfaitement bien.

    C'est d'ailleurs la première fois depuis un moment que je n'ai aucune alerte au démarrage!!
    S'il y a des suites, je te tiendrais au courant!

    Merci beaucoup pour ton aide et le temps que tu as passé sur mon cas :)

    Bonne soirée.
    0