Virus coriace

Résolu
Cousteau974 Messages postés 16 Statut Membre -  
 gen-hackman -
Bonjour,

me voilà infesté par un virus plus coriace que les autres habituels.
Toutes les 10 minutes il revient à la charge et me crée un fichier de type : 'DR/IRCBot.pmo' [dropper].
Avira le détecte comme suit :
'C:\Documents and Settings\NetworkService\Local Settings\Temp\hxnv.tmp\svchost.exe'
et je les supprime directement.
Le dossier porte toujours un nom différent de 4 lettres aléatoires et contient le fichier svchost.exe

Mais à la source, il y a LE programme qui génère ces fichiers parasites dont j'ignore l'action.
Ci-dessous le rapport Hijackthis sachant que malwarebyte et Avira ne détectent rien... :(

Remerciements par avance pour ceux qui s'attèlereront au problème.

Rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:41:15, on 08/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Anti spywares Malwarebytes\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rapport Virus HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Antispy Spybot\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1412E27-47C6-4628-8F1E-A9BFB5459F05}: NameServer = 192.168.1.254
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Web Update Wizard Service V4 by PowerProgrammer (WebUpdate4) - Data Perceptions / PowerProgrammer - C:\WINDOWS\system32\WebUpdateSvc4.exe

--
End of file - 5471 bytes
Configuration: Windows XP Internet Explorer 8.0

24 réponses

  • 1
  • 2
  1. gen-hackman
     
    salut :

    ▶ Télécharge UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    ▶ Double clic sur le raccourci UsbFix présent sur ton bureau .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  2. Cousteau974 Messages postés 16 Statut Membre
     
    D'abord merci pour ton message, j'aurais dû le faire d'entrée puisque je vois que cette procédure
    est devenue "rituelle".
    Voilà mon rapport UsbFix

    ############################## | UsbFix V6.084 |

    User : Magalie (Administrateurs) # GABRIEL
    Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 16:44:02 | 08/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Sempron(tm) 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 149,05 Go (88,21 Go free) [422012] # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 969,72 Mo (969,72 Mo free) [TRANSCEND1G] # FAT
    G:\ -> Disque amovible

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 588
    C:\WINDOWS\system32\csrss.exe 656
    C:\WINDOWS\system32\winlogon.exe 680
    C:\WINDOWS\system32\services.exe 728
    C:\WINDOWS\system32\lsass.exe 740
    C:\WINDOWS\system32\Ati2evxx.exe 920
    C:\WINDOWS\system32\svchost.exe 940
    C:\WINDOWS\system32\svchost.exe 1020
    C:\WINDOWS\System32\svchost.exe 1120
    C:\WINDOWS\system32\svchost.exe 1160
    C:\WINDOWS\system32\svchost.exe 1336
    C:\WINDOWS\system32\Ati2evxx.exe 1476
    C:\WINDOWS\system32\svchost.exe 1596
    C:\WINDOWS\Explorer.EXE 1632
    C:\WINDOWS\system32\spoolsv.exe 1748
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1832
    C:\WINDOWS\system32\ctfmon.exe 1848
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1888
    C:\WINDOWS\system32\svchost.exe 2012
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1064
    C:\Program Files\Java\jre6\bin\jqs.exe 1100
    C:\WINDOWS\system32\slserv.exe 1360
    C:\WINDOWS\system32\svchost.exe 1624
    C:\WINDOWS\system32\WebUpdateSvc4.exe 1820
    C:\WINDOWS\System32\alg.exe 2256
    C:\WINDOWS\System32\svchost.exe 3060
    C:\Program Files\Mozilla Firefox\firefox.exe 2548
    C:\WINDOWS\system32\wbem\wmiprvse.exe 1728

    ################## | Elements infectieux |

    C:\Documents and Settings\Magalie\RavMonLog
    C:\WINDOWS\msa.exe
    C:\WINDOWS\msb.exe
    C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    C:\WINDOWS\System32\sshnas21.dll

    ################## | Registre |

    [HKCU\SOFTWARE\F5JMWNZTHI]
    [HKCU\SOFTWARE\Microsoft\Handle]
    [HKCU\SOFTWARE\ROUA3O12PW]
    [HKCU\SOFTWARE\XML]
    [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
    [HKLM\SYSTEM\ControlSet001\Services\SSHNAS]
    [HKLM\SYSTEM\ControlSet002\Services\SSHNAS]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]
    [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{5e83b4ac-0f43-11dc-bda2-000feaa96820}
    Shell\Auto\command =AdobeR.exe e
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

    HKCU\..\..\Explorer\MountPoints2\{895bc77c-be53-11de-824a-000feaa96820}
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

    HKCU\..\..\Explorer\MountPoints2\{9fbe255e-0abe-11dc-bd9a-000feaa96820}
    Shell\Auto\command =E:\AdobeR.exe e
    Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

    HKCU\..\..\Explorer\MountPoints2\{df5abe9c-f7ba-11de-8365-000feaa96820}
    Shell\AutoRun\command =E:\USBAutoRun.exe

    ################## | ! Fin du rapport # UsbFix V6.084 ! |
    0
  3. gen-hackman
     
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    ▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  4. Cousteau974 Messages postés 16 Statut Membre
     
    Voilà, la réparation "semble finie".
    Pendant le scan UsbFix au redémarrage, Avira a encore supprimé le virus
    qui réapparaît sans arrêt...

    Rapport UsbFix :

    ############################## | UsbFix V6.084 |

    User : Magalie (Administrateurs) # GABRIEL
    Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 17:29:36 | 08/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Sempron(tm) 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 149,05 Go (88,16 Go free) [422012] # NTFS
    D:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 588
    C:\WINDOWS\system32\csrss.exe 652
    C:\WINDOWS\system32\winlogon.exe 680
    C:\WINDOWS\system32\services.exe 728
    C:\WINDOWS\system32\lsass.exe 740
    C:\WINDOWS\system32\Ati2evxx.exe 920
    C:\WINDOWS\system32\svchost.exe 940
    C:\WINDOWS\system32\svchost.exe 1024
    C:\WINDOWS\System32\svchost.exe 1124
    C:\WINDOWS\system32\logonui.exe 1132
    C:\WINDOWS\system32\svchost.exe 1248
    C:\WINDOWS\system32\Ati2evxx.exe 1388
    C:\WINDOWS\system32\svchost.exe 1476
    C:\WINDOWS\system32\svchost.exe 1596
    C:\WINDOWS\Explorer.EXE 1616
    C:\WINDOWS\system32\spoolsv.exe 1728
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1852
    C:\WINDOWS\system32\svchost.exe 1960
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 972
    C:\Program Files\Java\jre6\bin\jqs.exe 1080
    C:\WINDOWS\system32\slserv.exe 1276
    C:\WINDOWS\system32\svchost.exe 1384
    C:\WINDOWS\system32\WebUpdateSvc4.exe 1576
    C:\WINDOWS\system32\wuauclt.exe 1980
    C:\WINDOWS\System32\alg.exe 1592
    C:\WINDOWS\system32\wbem\wmiprvse.exe 1924

    ################## | Elements infectieux |

    Supprimé ! C:\Documents and Settings\Magalie\RavMonLog
    Supprimé ! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    Supprimé ! C:\Recycler\S-1-5-21-1296174745-2033093711-95841644-1003
    Supprimé ! C:\Recycler\S-1-5-21-4210952940-739448315-3770589061-1006

    ################## | Registre |

    Supprimé ! [HKCU\SOFTWARE\F5JMWNZTHI]
    Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]
    Supprimé ! [HKCU\SOFTWARE\ROUA3O12PW]
    Supprimé ! [HKCU\SOFTWARE\XML]
    Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]
    Supprimé ! [HKLM\SYSTEM\ControlSet002\Services\SSHNAS]
    Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]
    Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{5e83b4ac-0f43-11dc-bda2-000feaa96820}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{895bc77c-be53-11de-824a-000feaa96820}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{9fbe255e-0abe-11dc-bd9a-000feaa96820}\Shell\Auto\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{df5abe9c-f7ba-11de-8365-000feaa96820}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [01/05/2005 07:16|--a------|959] C:\868000422012.dat
    [04/10/2006 17:23|--a------|0] C:\AILog.txt
    [03/05/2005 09:58|--a------|185] C:\ati.log
    [03/05/2005 09:37|--a------|0] C:\AUTOEXEC.BAT
    [23/09/2005 19:57|-rahs----|216] C:\boot.ini
    [05/08/2004 16:00|-rahs----|4952] C:\Bootfont.bin
    [03/05/2005 09:37|--a------|0] C:\CONFIG.SYS
    [03/11/2005 03:47|--a------|5710] C:\data
    [23/09/2005 19:57|--a------|27] C:\expand.txt
    [?|?|?] C:\hiberfil.sys
    [03/05/2005 09:37|-rahs----|0] C:\IO.SYS
    [11/10/2004 09:18|--a------|19] C:\LANG.TXT
    [09/04/2003 12:44|--a------|10] C:\Language.txt
    [03/05/2005 09:37|-rahs----|0] C:\MSDOS.SYS
    [05/08/2004 16:00|-rahs----|47564] C:\NTDETECT.COM
    [19/09/2008 18:10|-rahs----|252240] C:\ntldr
    [04/08/2004 16:00|--a------|2] C:\oem.tag
    [?|?|?] C:\pagefile.sys
    [01/05/2005 07:16|---h-----|15348] C:\Prodlog.txt
    [20/10/2009 11:11|--a------|103] C:\Shape3d.log
    [08/02/2010 17:38|--a------|3956] C:\UsbFix.txt

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix.

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_GABRIEL.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Cousteau974 Messages postés 16 Statut Membre
     
    Je confirme : le virus est toujours là.
    :(
    0
  7. Cousteau974 Messages postés 16 Statut Membre
     
    problème : UsbFix ne détecte plus d'élément infectieux...

    ############################## | UsbFix V6.084 |

    User : Magalie (Administrateurs) # GABRIEL
    Update on 01/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 17:55:23 | 08/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Sempron(tm) 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 149,05 Go (88,16 Go free) [422012] # NTFS
    D:\ -> Disque CD-ROM

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe 588
    C:\WINDOWS\system32\csrss.exe 656
    C:\WINDOWS\system32\winlogon.exe 680
    C:\WINDOWS\system32\services.exe 728
    C:\WINDOWS\system32\lsass.exe 740
    C:\WINDOWS\system32\Ati2evxx.exe 920
    C:\WINDOWS\system32\svchost.exe 940
    C:\WINDOWS\system32\svchost.exe 1024
    C:\WINDOWS\System32\svchost.exe 1124
    C:\WINDOWS\system32\svchost.exe 1280
    C:\WINDOWS\system32\Ati2evxx.exe 1368
    C:\WINDOWS\system32\svchost.exe 1476
    C:\WINDOWS\system32\svchost.exe 1596
    C:\WINDOWS\Explorer.EXE 1604
    C:\WINDOWS\system32\spoolsv.exe 1752
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1784
    C:\WINDOWS\system32\ctfmon.exe 1796
    C:\Program Files\Avira\AntiVir Desktop\sched.exe 1864
    C:\WINDOWS\system32\svchost.exe 1980
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe 640
    C:\Program Files\Java\jre6\bin\jqs.exe 868
    C:\WINDOWS\system32\slserv.exe 1116
    C:\WINDOWS\system32\svchost.exe 1332
    C:\WINDOWS\system32\WebUpdateSvc4.exe 1512
    C:\WINDOWS\System32\alg.exe 2176
    C:\WINDOWS\System32\svchost.exe 2952
    C:\Program Files\Mozilla Firefox\firefox.exe 312
    C:\WINDOWS\system32\wbem\wmiprvse.exe 1728

    ################## | Elements infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | ! Fin du rapport # UsbFix V6.084 ! |
    0
  8. gen-hackman
     
    il doivent etre dans la restauration systeme on va les virer apres

    Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent(car il est detecté a tort comme infection)

    ▶ Télécharge List&Kill'em et enregistre le sur ton bureau

    ▶ Branche clés usb , disques durs externes , mp3 , mp4 , etc..

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    coche la case "creer une icone sur le bureau"

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis la langue puis choisis l'option 1 = Mode Recherche

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    tu peux supprimer le rapport catchme.log de ton bureau maintenant.

    0
    1. Cousteau974 Messages postés 16 Statut Membre
       
      ???

      Désolé mais ce programme ne fonctionne pas.
      J'ai juste une fenêtre qui s'ouvre : bloc-note où figure l'inscription

      MZ   ÿÿ ¸ @ € º ´ Í!¸LÍ!This program cannot be run in DOS mode.

      Mais aucun programme ne se lance...

      J'ai Windows XP
      0
  9. gen-hackman
     
    ▶ Télécharge DAFT !

    ▶ Sauvegarde-le sur ton Bureau.
    ▶ Dézippe le dossier le contenant (clic droit , extraire ici)
    ▶ Double-clique sur l'icône de DAFT se trouvant dans son dossier dézippé, présent sur ton bureau.
    ▶ Clique sur le bouton Scan.
    ▶ Sélectionne tout ce qui apparaît.
    ▶ Clique sur le bouton Fix.
    ▶ Ensuite relance DAFT. Si tout est OK, un message du type "All associations are OK" devrait apparaître.
    ▶ Ferme DAFT.

    ensuite reessaie
    0
  10. Cousteau974 Messages postés 16 Statut Membre
     
    Pour l'instant, pas d'alerte.
    Je croise les doigts...
    0
  11. Cousteau974 Messages postés 16 Statut Membre
     
    Merci bien pour ta patience, Mr Hackman.
    J'espère que le problème est résolu.
    Bonne soirée.
    0
  12. Cousteau974 Messages postés 16 Statut Membre
     
    Daft a tourné et supprimé un fichier,
    puis j'ai remis en marche UsbFix derrière qui en a supprimé un autre.
    Et depuis 15h20 il n'y a eu aucune alerte.
    0
  13. Cousteau974 Messages postés 16 Statut Membre
     
    Mauvaise nouvelle : les vers sont de retour...
    Mais il est tard à la Réunion.
    Je verrai demain et reprendrai tout du début...

    Merci, bonsoir !
    0
  14. gen-hackman
     
    ok essaie de faire ce qui est demandé stp
    0
  15. Cousteau974 Messages postés 16 Statut Membre
     
    J'ai fait tourner ton logiciel (je viens d'y voir ton nom), il marchait aujourd'hui.
    Entretemps (Avira désactivé) j'ai encore reçu 25 virus...
    mais ce sont à présent des "worm" donc les manip de hier ont changé la donne.

    Voilà le rapport "List'em" comme demandé :

    List'em by g3n-h@ckm@n 1.2.4.1

    User : Magalie (Administrateurs)
    Update on 08/02/2010 by g3n-h@ckm@n ::::: 13.00
    Start at: 06:39:39 | 09/02/2010
    Contact : https://forums.commentcamarche.net/forum/virus-securite-7

    AMD Sempron(tm) 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    C:\ -> Disque fixe local | 149,05 Go (86,77 Go free) [422012] | NTFS
    D:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\WebUpdateSvc4.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Megaupload Manager\MegaManager.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\List_Kill'em\List_Kill'em.scr
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Documents and Settings\Magalie\Local Settings\Temp\181.tmp\pv.exe

    ======================
    Keys "Run"
    ======================
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    avgnt REG_SZ "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)

    ===============
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun REG_DWORD 128 (0x80)
    NoDriveAutoRun REG_DWORD 128 (0x80)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    HonorAutoRunSetting REG_DWORD 0 (0x0)
    NoDriveAutoRun REG_DWORD 128 (0x80)
    NoDriveTypeAutoRun REG_DWORD 128 (0x80)

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    AutoRestartShell REG_DWORD 1 (0x1)
    DefaultDomainName REG_SZ GABRIEL
    DefaultUserName REG_SZ Magalie
    LegalNoticeCaption REG_SZ
    LegalNoticeText REG_SZ
    PowerdownAfterShutdown REG_SZ 0
    ReportBootOk REG_SZ 1
    Shell REG_SZ explorer.exe
    ShutdownWithoutLogon REG_SZ 0
    System REG_SZ
    Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
    VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
    SfcQuota REG_DWORD -1 (0xffffffff)
    allocatecdroms REG_SZ 0
    allocatedasd REG_SZ 0
    allocatefloppies REG_SZ 0
    cachedlogonscount REG_SZ 10
    forceunlocklogon REG_DWORD 0 (0x0)
    passwordexpirywarning REG_DWORD 14 (0xe)
    scremoveoption REG_SZ 0
    AllowMultipleTSSessions REG_DWORD 1 (0x1)
    UIHost REG_EXPAND_SZ logonui.exe
    LogonType REG_DWORD 1 (0x1)
    Background REG_SZ 0 0 0
    DebugServerCommand REG_SZ no
    SFCDisable REG_DWORD 0 (0x0)
    WinStationsDisabled REG_SZ 0
    HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
    ShowLogonOptions REG_DWORD 0 (0x0)
    AltDefaultUserName REG_SZ Magalie
    AltDefaultDomainName REG_SZ GABRIEL
    ChangePasswordUseKerberos REG_DWORD 1 (0x1)

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WgaLogon]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\Clef Wifi Bluestork\BS-WG-USB.exe REG_SZ C:\Program Files\Clef Wifi Bluestork\BS-WG-USB.exe:*:Enabled:Clef Wifi Bluestork
    C:\Program Files\Morpheus\Morpheus.exe REG_SZ C:\Program Files\Morpheus\Morpheus.exe:*:Enabled:M5Shell
    %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE REG_SZ C:\WINDOWS\system32\spool\drivers\w32x86\3\SAGENT4.EXE:*:Enabled:SAgent4
    C:\Program Files\eMule\emule.exe REG_SZ C:\Program Files\eMule\emule.exe:*:Enabled:eMule
    D:\STHIW\stInstall.exe REG_SZ D:\STHIW\stInstall.exe:*:Enabled:SpeedTouch Home Install Wizard
    C:\Program Files\VLC media player\vlc.exe REG_SZ C:\Program Files\VLC media player\vlc.exe:*:Enabled:VLC media player
    C:\Program Files\Java\jre6\bin\javaw.exe REG_SZ C:\Program Files\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary
    C:\Program Files\Avira\AntiVir Desktop\update.exe REG_SZ C:\Program Files\Avira\AntiVir Desktop\update.exe:*:Enabled:update
    C:\Program Files\Fastplug Sagem\informer\devinf.exe REG_SZ C:\Program Files\Fastplug Sagem\informer\devinf.exe:*:Disabled:F@ST PLUG Superviseur

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    %windir%\Network Diagnostic\xpnetdiag.exe REG_SZ %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    C:\Program Files\Windows Live\Messenger\wlcsdk.exe REG_SZ C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe REG_SZ C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger

    ===============
    ActivX controls
    ===============
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{166B1BCA-3F9C-11CF-8075-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{D27CDB6E-AE6D-11CF-96B8-444553540000}

    ===============
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{411EDCF7-755D-414E-A74B-3DCD6583F589}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89D0C5E6-F567-F017-2265-1A83C643330C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8b15971b-5355-4c82-8c07-7e181ea07608}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{94de52c8-2d59-4f1b-883e-79663d2d9a8c}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C487390F-F1D2-156A-DA09-A702AFBB9524}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DAA94A2A-2A8D-4D3B-9DB8-56FBECED082D}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{DD126C22-3D61-90FE-4309-8221A9F02515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

    ==============
    BHO :
    ======
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{53707962-6F74-2D53-2644-206D7942484F}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{bf00e119-21a3-4fd1-b178-3b8537e75c92}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]

    ================
    Internet Explorer :
    ================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    ========
    Services
    ========
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3 ( OK = 3 )
    EapHost : 0x3 ( OK = 2 )
    SharedAccess : 0x2 ( OK = 2 )
    wuauserv : 0x2 ( OK = 2 )

    =========
    Atapi.sys
    =========

    Sources
    =======

    C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
    C:\WINDOWS\ServicePackFiles\i386\atapi.sys
    C:\WINDOWS\system32\drivers\atapi.sys

    Référence :
    ==========

    Win XP_32b : a64013e98426e1877cb653685c5c0009
    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
    Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

    =======
    Drive :
    =======

    D‚fragmenteur de disque Windows
    Copyright (c) 2001 Microsoft Corp. et Executive Software International Inc.

    Rapport d'analyse
    149 Go total, 86,77 Go libre (58%), 13% fragment‚ (fragmentation du fichier 27%)

    Vous devriez d‚fragmenter ce volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\WINDOWS\002779_.tmp
    Present !! : C:\WINDOWS\SlantAdj.dll
    Present !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
    Present !! : C:\WINDOWS\System32\SET*.tmp
    Present !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat
    Present !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat
    Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\dw.log
    Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is4.tmp
    Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is5.tmp
    Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is7.tmp
    Present !! : C:\Documents and Settings\Magalie\Local Settings\Temp\isA.tmp
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\AcDeltree.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FlashPlayerUpdate.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\jrestub.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\RebootStart.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\regincd2.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\setup_wm.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\UNNeroBurnRights.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\WindowsUpdateAgent20-x86.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\wlsetup-cvr.exe
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_104.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1d4.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1f0.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_388.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_3d4.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_4f8.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_964.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_aa0.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_d60.dat
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\MFPL7014.DLL
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\qt-mt332.dll
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-awt-win32-3346.dll
    Present !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-win32-3346.dll

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

    ============

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-09 07:32:24
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x83AB48D4]<<
    kernel: MBR read successfully
    user & kernel MBR OK

    ==========
    Programs
    ==========

    ABBYY FineReader 5.0 Sprint
    Adobe
    Ahead
    Anti spywares Malwarebytes
    Antispy Spybot
    AutoCAD 2009
    Avira
    Boonty
    Calculatrice SpeedCrunch
    Capture ‚cran Gadwin
    Clef WIFI Netgear WPN111
    Common files
    ComPlus Applications
    Conversion pdf - Word
    Diagnostic ordinateur PC wizard
    directx
    D‚coupage fichiers Xtremsplit.exe
    EA SPORTS
    eMule
    Encodeur MP3 CDex
    EPSON
    Fastplug Sagem
    Fichiers communs
    Foxit_JS_ExObjects.dll
    fxdecod1.dll
    Gestion fichiers Lupas
    Google
    G‚om‚trie Atelier 2D
    G‚om‚trie CaRMetal
    Imprimante virtuelle PDF Creator
    IncrediMail
    InstallShield Installation Information
    Internet Explorer
    Java
    lang_fr_fr.xml
    Lecteur PdfFoxitreader.exe
    List_Kill'em
    Megaupload Manager
    Messenger
    Microsoft
    microsoft frontpage
    Microsoft Games
    Microsoft Office
    Microsoft Works
    Movie Maker
    Mozilla Firefox
    MSBuild
    MSN
    MSN Gaming Zone
    MSXML 4.0
    NetMeeting
    Online Services
    OpenOffice.org 2.2
    Outlook Express
    Pack codecs KLite
    Philips
    Raccourcis de programmes
    Rapport Virus HijackThis
    Reference Assemblies
    RegCleaner
    Services en ligne
    Shape3d Lite
    Smart Panel
    Sun
    Test codec GSpot
    Test Codec GSpot.exe
    TrueCrypt
    Uninstall Information
    VGA USB Camera
    VLC media player
    Windows Live
    Windows Live SkyDrive
    Windows Live Toolbar
    Windows Media Connect 2
    Windows Media Player
    Windows NT
    WindowsUpdate
    WinRAR
    xerox

    ============
    Drive C:
    ============

    75eb390d0802349f3f7e4618e50c
    868000422012.dat
    AILog.txt
    ATI-CPanel
    ati.log
    AUTOEXEC.BAT
    autorun.inf
    boot.ini
    Bootfont.bin
    Config.Msi
    CONFIG.SYS
    data
    Documents and Settings
    e6db65a8e6e7a8687c181b6c878ba9
    expand.txt
    FirstSteps
    hiberfil.sys
    IO.SYS
    ISP
    Kill'em
    LANG.TXT
    Language.txt
    List'em.txt
    MSDOS.SYS
    MSWorks
    NTDETECT.COM
    ntldr
    oem.tag
    pagefile.sys
    Prodlog.txt
    Program Files
    RECYCLER
    Shape3d.log
    System Volume Information
    Thierry
    UsbFix
    WINDOWS

    ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

    C:\MSWorks\Install.exe
    C:\Thierry\Setups\Winrar\Keygen\Keygen.exe
    C:\Thierry\Setups\Works\MSWORKS\Install.exe

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End of scan : 7:51:52,23
    0
  16. gen-hackman
     
    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'option 2 = Mode Suppression

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta reponse
    0
  17. Cousteau974 Messages postés 16 Statut Membre
     
    Tu es un lève tôt !

    Voilà le rapport, il y a eu un carnage vu le nombre de fichiers détruits...

    Je confirme qu'après cela il y a encore des créations de dossiers dans
    C:\Documents and Settings\NetworkService\Local Settings\Temp

    mais ces dossiers sont vides de tout fichier et infection.
    Il y a un progrès mais ça n'est pas gagné.

    Kill'em by g3n-h@ckm@n 1.2.4.1

    User : Magalie (Administrateurs)
    Update on 08/02/2010 by g3n-h@ckm@n ::::: 13.00
    Start at: 08:19:24 | 09/02/2010
    Contact : https://forums.commentcamarche.net/forum/virus-securite-7

    AMD Sempron(tm) 3000+
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

    C:\ -> Disque fixe local | 149,05 Go (88,8 Go free) [422012] | NTFS
    D:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\WebUpdateSvc4.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\List_Kill'em\List_Kill'em.scr
    C:\WINDOWS\system32\cmd.exe
    C:\Documents and Settings\Magalie\Local Settings\Temp\20D.tmp\ERUNT.EXE
    C:\Documents and Settings\Magalie\Local Settings\Temp\20D.tmp\pv.exe

    Detections :
    ==========

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\WINDOWS\002779_.tmp
    Quarantined & Deleted !! : C:\WINDOWS\SlantAdj.dll

    Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET38.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET3A.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET3F.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET46.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET49.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET4B.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET50.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET52.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET54.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET55.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET57.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET60.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET62.tmp
    Quarantined & Deleted !! : C:\WINDOWS\System32\SET65.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Application Data\wklnhst.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\dw.log
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is4.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is5.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\is7.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\Local Settings\Temp\isA.tmp
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\AcDeltree.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FlashPlayerUpdate.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\FP_PL_PFS_INSTALLER.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\jrestub.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\RebootStart.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\regincd2.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\setup_wm.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\UNNeroBurnRights.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\WindowsUpdateAgent20-x86.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\wlsetup-cvr.exe
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_104.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1d4.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_1f0.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_388.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_3d4.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_4f8.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_964.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_aa0.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\Perflib_Perfdata_d60.dat
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\MFPL7014.DLL
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\qt-mt332.dll
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-awt-win32-3346.dll
    Quarantined & Deleted !! : C:\Documents and Settings\Magalie\LOCAL Settings\Temp\swt-win32-3346.dll

    ==============
    host file OK !
    ==============

    ========
    Registry
    ========

    Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
    ========
    Services
    =========

    Ndisuio : Start = 3
    EapHost : Start = 2
    Ip6Fw : Start = 2
    SharedAccess : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ============
    Disk Cleaned
    ============

    ================
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  18. Cousteau974 Messages postés 16 Statut Membre
     
    J'ai peut-être trouvé la parade.

    https://support.kaspersky.com/5350

    Un virus semblable au "mien" était décrit dans un forum,
    et a été réglé grâce à ce programme de chez Kaspersky. (pub gratuite)

    Je l'ai mis en marche, il a supprimé 3 fichiers et/ou clés de registre.
    Je regrette de ne pas avoir eu la présence d'esprit de faire une capture
    lorsqu'il a mentionné les noms des éléments infectés, mais je me souviens
    que dans chacun des 3 noms figurait : ATAPI.

    Je n'ai pas eu de dossier créé depuis l'exécution dudit programme.
    0
  19. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge :

    Malwarebytes

    ou :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  • 1
  • 2