Trojan, malware, rootkit, jeefo sur DD extern

denis -  
 denis -
Bonjou à tous,
Comme l'indique le titre, mon ordi et surtout mon disque dur externe sont iinfesté par tout pleins de virus qu'avast me détecte :
Win32:Trojan-gen
Win32:OnLineGames-FPM [Trj]
Win32:Malware-gen
Win32:Jeefo
Win32:Rootkit-gen [Rtk]
BV:Small-B [Trj]
VBS:Small-B [Trj]
VBS:Small
Win32:Rjump [Wrm]

C'est foutu? ou j'ai encore une chance d'avoir un ordi à peu près clean?

Je pensais transférer mes fichiers du DD externe sans infecter le disque cible (mais je sais pas du tout comment faire...) et tout formater poyr repartir à 0. Est-ce possible ???

J'ai lu quelques posts et j'ai pas mal de logiciels antivirus prêts à installer (hijackthis, a2, usbfix, cleen up, spybot....)

J'ai les rapports HiJackThis et UsbFix, je les colle à la fin.

Merci de m'aider ainsi que pleins d'autres débutants en informatique qui galèrent comme moi avec pleins de virus ;-)

config:
Win XP
Firefox3.6

rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:43, on 09/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\81BA7A\EC6F16.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\denis\My Documents\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://877-77.com/a/a4.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EC6F16] C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: EC6F16.lnk = C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe

--
End of file - 4086 bytes

Rapport UsbFix :

############################## | UsbFix V6.092 |

User : denis (Administrators) # DENIS-685B39FFE
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 00:14:32 | 09/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) CPU 2.60GHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.7.892 [VPS 100208-1] 4.7.892 [ Enabled | Updated ]

C:\ -> Local Fixed Disk # 109,78 Go (98,85 Go free) # NTFS
D:\ -> Removable Disk # 1,85 Go (1,85 Go free) [KINGSTON] # FAT32
E:\ -> CD-ROM Disc
F:\ -> Local Fixed Disk # 232,83 Go (27,82 Go free) [LASSIE] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TRENDnet\TEW-424UB\Logon.tmp
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1644491937-1004336348-1801674531-1003

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[31/01/2010 14:33|--a------|0] C:\AUTOEXEC.BAT
[31/01/2010 14:26|---hs----|211] C:\boot.ini
[31/01/2010 14:33|--a------|0] C:\CONFIG.SYS
[31/01/2010 14:33|-rahs----|0] C:\IO.SYS
[31/01/2010 14:33|-rahs----|0] C:\MSDOS.SYS
[04/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[04/08/2004 13:00|-rahs----|250032] C:\ntldr
[?|?|?] C:\pagefile.sys
[09/02/2010 00:16|--a------|2443] C:\UsbFix.txt
[08/02/2010 23:43|--a------|1512516] C:\UsbFix_Upload_Me_DENIS-685B39FFE.zip
[28/08/2007 01:24|--ah-----|4096] F:\._.Trashes
[21/12/2008 14:57|--ah-----|12292] F:\.DS_Store
[28/08/2007 01:27|--ah-----|82] F:\._.TemporaryItems
[08/02/2010 23:09|--a------|1405158] F:\_Restore.exe
[23/06/2007 17:20|---hs----|8192] F:\Thumbs.db
[26/10/2006 10:24|--a------|558] F:\kill_autorun_vbs.bat
[31/07/2009 19:14|---hs----|348160] F:\msvcr71.dll

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix .
# F:\autorun.inf -> Dossier créé par UsbFix .

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_DENIS-685B39FFE.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.092 ! |

Ciao,
Merci !
Configuration: Windows XP
Firefox 3.6

22 réponses

  • 1
  • 2
  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, rien de vraiment visible sur ton hijackthis sauf que ton pc n'est pas à jour, mais un petit doute sur une possible infection vundo , je te propose de passer malwarebytes mais je vais te donner un lien ou je l'aurais renommé avant

    Télécharges Malwarebytes'Anti-Malware que j'ai renommé en jacmal :http://sd-1.archive-host.com/membres/up/89820622056365782/jacmal.exe

    . enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Il va se mettre à jour, si il ne le fait pas automatiquement fais le en allant Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour, une fois faite
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés)

    . cliques sur Supprimer la sélection

    . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . redemarres le pc si il ne l'a pas fait automatiquement
    . une fois redémarré double-cliques sur malwarebytes
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller
    0
    1. denis
       
      Salut jacques, merci de ton aide, j'ai fait tout ce que tu m'as dis. Le rapport Malwarebytes est à la fin. Avast me détecte toujours des virus sur mes disques.

      J'avais oublié de préciser : sur le dossier racine de mon DD, il m'a transformé des dossiers en fichiers .exe. Je peux accéder à ces dossiers qu'en tapant le chemin d'accès dans la barre d'adresse... Peut être quelqu'un a déjà eu ce problème !?


      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3721
      Windows 5.1.2600 Service Pack 2
      Internet Explorer 6.0.2900.2180

      10/02/2010 23:15:04
      mbam-log-2010-02-10 (23-15-04).txt

      Type de recherche: Examen complet (C:\|F:\|)
      Eléments examinés: 205990
      Temps écoulé: 43 minute(s), 16 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\1D23A6\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
      0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, quand tu as fais usbfix est ce que tu avais bien ton dd externe conserné de connecté ??
    0
  3. denis
     
    Salut,

    Désolé de ma réponse tardive, je suis pas souvent sur mon ordi en ce moment

    Oui il était bien connecté, j'ai vérifié dans le rapport usbfix, il l'a reconnu :

    F:\ -> Local Fixed Disk # 232,83 Go (27,82 Go free) [LASSIE] # FAT32
    0
  4. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ok et avast il te donne quoi comme chemin ?? endroit ou il les trouve !!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. denis
     
    Pour le DD externe il trouve :

    Dans le dossier racine F:
    Recycle.exe (Trojan)
    autorun.inf (Malware)

    Dans le dossier D:\System Volume Information\_restore{3AA4E4DF-DBAB-4B07-BE26-E50C41D8D1A0}\RP11
    Malware, rootkit, Jeefo, OnLineGames

    Pour le disque local

    C:\WINDOWS\system32\1D23A6\A-81U7.EXE (Malware)
    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu passes List&Kill'em

    Desactives la protection residente de ton antivirus et ton parefeu et anti-spyware si present , le temps du scan

    passes List&Kill'em

    télécharges le sur le bureau : http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

    il ne demande pas d'installation tu doubles cliques dessus " pour vista clique droit et en tant que administrateur "

    tu mets f pour français et valides avec entrée

    tu choisis 1= Mode Recherche et entrée tu le laisse travailler et tu postes le rapport

    il est sinon conservé à la racine du disque système

    Desactives la protection residente de ton antivirus et ton parefeu et anti-spyware si present , le temps du scan

    Relances List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

    mais cette fois-ci :

    choisis l'option 2 = Mode Destruction

    laisse travailler l'outil

    apres les verifications , un rapport va s'ouvrir.

    ferme-le.

    un deuxieme rapport va s'ouvrir ,

    colle son contenu dans ta reponse

    C:\Kill'em.txt
    0
  8. denis
     
    Voici le rapport du mode recherche, je lance la suppression :

    List'em by g3n-h@ckm@n 1.2.5.0

    User : denis (Administrators)
    Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
    Start at: 12:09:55 | 14/02/2010
    Contact : https://forums.commentcamarche.net/forum/virus-securite-7

    Intel(R) Celeron(R) CPU 2.60GHz
    Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.7.892 [VPS 100213-1] 4.7.892 [ (!) Disabled | Updated ]

    C:\ -> Local Fixed Disk | 109,78 Go (99,49 Go free) | NTFS
    E:\ -> CD-ROM Disc
    F:\ -> Local Fixed Disk | 232,83 Go (28,34 Go free) [LASSIE] | FAT32

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\WINDOWS\PixArt\PAC7302\Monitor.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
    C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\List_Kill'em\List_Kill'em.scr
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Documents and Settings\denis\Local Settings\Temp\10.tmp\pv.exe

    ======================
    Keys "Run"
    ======================
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    {0228e555-4f9c-4e35-a3ec-b109a192b4c2} REG_SZ C:\Program Files\Google\Gmail Notifier\gnotify.exe
    PAC7302_Monitor REG_SZ C:\WINDOWS\PixArt\PAC7302\Monitor.exe
    NeroCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
    SoundMan REG_SZ SOUNDMAN.EXE
    ATIModeChange REG_SZ Ati2mdxx.exe
    ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    EC6F16 REG_SZ C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

    =====================
    Other Keys
    =====================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    dontdisplaylastusername REG_DWORD 0 (0x0)
    legalnoticecaption REG_SZ
    legalnoticetext REG_SZ
    shutdownwithoutlogon REG_DWORD 1 (0x1)
    undockwithoutlogon REG_DWORD 1 (0x1)

    ===============
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    NoDriveAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveAutoRun REG_DWORD 255 (0xff)
    NoDriveTypeAutoRun REG_DWORD 255 (0xff)
    HonorAutoRunSetting REG_DWORD 0 (0x0)

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    AutoRestartShell REG_DWORD 1 (0x1)
    DefaultDomainName REG_SZ DENIS-685B39FFE
    DefaultUserName REG_SZ denis
    LegalNoticeCaption REG_SZ
    LegalNoticeText REG_SZ
    PowerdownAfterShutdown REG_SZ 0
    ReportBootOk REG_SZ 1
    Shell REG_SZ explorer.exe
    ShutdownWithoutLogon REG_SZ 0
    System REG_SZ
    Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
    VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
    SfcQuota REG_DWORD -1 (0xffffffff)
    allocatecdroms REG_SZ 0
    allocatedasd REG_SZ 0
    allocatefloppies REG_SZ 0
    cachedlogonscount REG_SZ 10
    forceunlocklogon REG_DWORD 0 (0x0)
    passwordexpirywarning REG_DWORD 14 (0xe)
    scremoveoption REG_SZ 0
    AllowMultipleTSSessions REG_DWORD 1 (0x1)
    UIHost REG_EXPAND_SZ logonui.exe
    LogonType REG_DWORD 1 (0x1)
    Background REG_SZ 0 0 0
    DebugServerCommand REG_SZ no
    SFCDisable REG_DWORD 0 (0x0)
    WinStationsDisabled REG_SZ 0
    HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
    ShowLogonOptions REG_DWORD 0 (0x0)
    AltDefaultUserName REG_SZ denis
    AltDefaultDomainName REG_SZ DENIS-685B39FFE

    ===============
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

    ===============
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

    ===============
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    C:\Program Files\Skype\Phone\Skype.exe REG_SZ C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

    ===============
    ActivX controls
    ===============

    ===============
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4b218e3e-bc98-4770-93d3-2731b9329278}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
    HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

    ==============
    BHO :
    ======

    ================
    Internet Explorer :
    ================
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ https://www.msn.com/fr-fr

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    ========
    Services
    ========
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

    Ndisuio : 0x3 ( OK = 3 )
    SharedAccess : 0x2 ( OK = 2 )
    wuauserv : 0x2 ( OK = 2 )

    =========
    Atapi.sys
    =========

    %%%% HASHDEEP-1.0
    %%%% size,md5,sha256,filename
    ## Invoked from: C:\Documents and Settings\denis\Local Settings\Temp\10.tmp
    ## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
    ##
    95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\System32\Drivers\atapi.sys

    Sources
    =======

    C:\WINDOWS\SoftwareDistribution\Download\9866fb57abdc0ea2f5d4e132d055ba4e\atapi.sys
    C:\WINDOWS\system32\drivers\atapi.sys

    Référence :
    ==========

    Win XP_32b : a64013e98426e1877cb653685c5c0009
    Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
    Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
    Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
    Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
    Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
    Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
    Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
    Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

    =======
    Drive :
    =======

    Windows Disk Defragmenter
    Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

    Analysis Report
    110 GB Total, 99,49 GB (90%) Free, 8% Fragmented (17% file fragmentation)

    You do not need to defragment this volume.

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Present !! : C:\WINDOWS\SET3.tmp
    Present !! : C:\WINDOWS\SET4.tmp
    Present !! : C:\WINDOWS\SET8.tmp

    ¤¤¤¤¤¤¤¤¤¤ Keys :

    Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

    ============

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-14 12:20:14
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
    kernel: MBR read successfully
    user & kernel MBR OK

    ==========
    Programs
    ==========

    Adobe
    Alwil Software
    ATI Technologies
    Common Files
    ComPlus Applications
    Google
    InstallShield Installation Information
    Internet Explorer
    List_Kill'em
    Malwarebytes' Anti-Malware
    Messenger
    microsoft frontpage
    Movie Maker
    Mozilla Firefox
    MSN
    MSN Gaming Zone
    Nero
    NetMeeting
    Online Services
    OpenOffice.org 3
    Outlook Express
    PDFCreator
    PixArt
    Skype
    Spybot - Search & Destroy
    TRENDnet
    Uninstall Information
    VideoLAN
    Windows Media Player
    Windows NT
    WindowsUpdate
    WinRAR
    xerox

    ============
    Drive C:
    ============

    AUTOEXEC.BAT
    autorun.inf
    boot.ini
    CONFIG.SYS
    Documents and Settings
    IO.SYS
    Kill'em
    List'em.txt
    MSDOS.SYS
    NTDETECT.COM
    ntldr
    pagefile.sys
    Program Files
    RECYCLER
    System Volume Information
    UsbFix
    UsbFix.txt
    UsbFix_Upload_Me_DENIS-685B39FFE.zip
    WINDOWS

    ¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    End of scan : 12:30:40,32
    0
  9. denis
     
    et voila le rapport de suppression:

    Kill'em by g3n-h@ckm@n 1.2.5.0

    User : denis (Administrators)
    Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
    Start at: 12:34:20 | 14/02/2010
    Contact : https://forums.commentcamarche.net/forum/virus-securite-7

    Intel(R) Celeron(R) CPU 2.60GHz
    Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Disabled
    AV : avast! antivirus 4.7.892 [VPS 100213-1] 4.7.892 [ (!) Disabled | Updated ]

    C:\ -> Local Fixed Disk | 109,78 Go (99,49 Go free) | NTFS
    E:\ -> CD-ROM Disc
    F:\ -> Local Fixed Disk | 232,83 Go (28,34 Go free) [LASSIE] | FAT32

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\WINDOWS\PixArt\PAC7302\Monitor.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
    C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\List_Kill'em\List_Kill'em.scr
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Documents and Settings\denis\Local Settings\Temp\17.tmp\ERUNT.EXE
    C:\Documents and Settings\denis\Local Settings\Temp\17.tmp\pv.exe

    Detections :
    ==========

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
    Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
    Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp

    ==============
    host file OK !
    ==============

    ========
    Registry
    ========

    Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
    Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
    ========
    Services
    =========

    Ndisuio : Start = 3
    Ip6Fw : Start = 2
    SharedAccess : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ============
    Disk Cleaned
    ============

    =================
    anti-ver blaster : OK !!
    =================

    ================
    Prefetch cleaned
    ================

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  10. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ok peux tu poster un nouveau hijackthis, merci
    0
  11. denis
     
    J'ai testé un peu avec Avast, il me trouve toujours le Malware dans system32\1D23A6. Celui de autorun.inf a du disparaitre, cool un de moins ;)

    Voici le HiJackThis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:41:24, on 14/02/2010
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Google\Gmail Notifier\gnotify.exe
    C:\WINDOWS\PixArt\PAC7302\Monitor.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
    C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\VideoLAN\VLC\vlc.exe
    C:\Documents and Settings\denis\My Documents\Téléchargements\HiJackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://877-77.com/a/a4.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
    O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [EC6F16] C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - Startup: EC6F16.lnk = C:\WINDOWS\system32\81BA7A\EC6F16.EXE
    O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
    0
  12. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    ok tu vas refaire malwarebytes , car il avait trouver et virer une partie de la chose
    Fichier(s) infecté(s):
    C:\WINDOWS\system32\1D23A6\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.

    tu ouvres malwarebytes et tu fais la mise à jour et puis après tu fais un examem complet du pc si il ne le vires pas on verra avec file assassin

    0
  13. denis
     
    Voilà :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3739
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    14/02/2010 23:21:48
    mbam-log-2010-02-14 (23-21-48).txt

    Type de recherche: Examen complet (C:\|F:\|)
    Eléments examinés: 206990
    Temps écoulé: 26 minute(s), 7 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  14. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bizare qu'il ne trouve rien avant de te le faire virer avec file assassin tu vas le faire analyser sur virus total !!

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :A-81U7.EXE tu le trouveras ici: C:\WINDOWS\system32\1D23A6

    Clique sur envoyer le lien.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
    0
  15. denis
     
    Virus Total :

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.02.15 Trojan.Dloader!IK
    AhnLab-V3 5.0.0.2 2010.02.14 Win-Trojan/Flystudio.23552.B
    AntiVir 7.9.1.170 2010.02.14 TR/Downloader.Gen2
    Antiy-AVL 2.0.3.7 2010.02.15 -
    Authentium 5.2.0.5 2010.02.15 W32/Agent.CM.gen!Eldorado
    Avast 4.8.1351.0 2010.02.14 Win32:Malware-gen
    AVG 9.0.0.730 2010.02.14 FlyCrypt
    BitDefender 7.2 2010.02.15 Trojan.Generic.3016623
    CAT-QuickHeal 10.00 2010.02.15 (Suspicious) - DNAScan
    ClamAV 0.96.0.0-git 2010.02.15 -
    Comodo 3941 2010.02.15 UnclassifiedMalware
    DrWeb 5.0.1.12222 2010.02.15 -
    eSafe 7.0.17.0 2010.02.14 Win32.TRDownloader
    eTrust-Vet 35.2.7303 2010.02.15 -
    F-Prot 4.5.1.85 2010.02.15 W32/Agent.CM.gen!Eldorado
    F-Secure 9.0.15370.0 2010.02.15 Trojan-Dropper:W32/Peed.gen!A
    Fortinet 4.0.14.0 2010.02.15 PossibleThreat
    GData 19 2010.02.15 Trojan.Generic.3016623
    Ikarus T3.1.1.80.0 2010.02.15 Trojan.Dloader
    Jiangmin 13.0.900 2010.02.15 Heur:Adware/FlyStudio
    K7AntiVirus 7.10.972 2010.02.12 not-a-virus:AdWare.Win32.FlyStudio.l
    Kaspersky 7.0.0.125 2010.02.15 not-a-virus:AdWare.Win32.FlyStudio.l
    McAfee 5892 2010.02.14 Generic.dx!mxg
    McAfee+Artemis 5892 2010.02.14 Generic.dx!mxg
    McAfee-GW-Edition 6.8.5 2010.02.15 Trojan.Downloader.Gen2
    Microsoft 1.5406 2010.02.14 Trojan:Win32/Aesevin.B
    NOD32 4866 2010.02.14 a variant of Win32/Packed.FlyStudio
    Norman 6.04.08 2010.02.14 -
    nProtect 2009.1.8.0 2010.02.14 -
    Panda 10.0.2.2 2010.02.14 W32/FlySky.BF
    PCTools 7.0.3.5 2010.02.15 Backdoor.Trojan
    Prevx 3.0 2010.02.15 High Risk Cloaked Malware
    Rising 22.34.01.03 2010.02.11 Trojan.Win32.Generic.51F91B45
    Sophos 4.50.0 2010.02.15 Mal/EncPk-NB
    Sunbelt 5678 2010.02.15 Trojan.Win32.Autorun.dm (v)
    Symantec 20091.2.0.41 2010.02.15 Backdoor.Trojan
    TheHacker 6.5.1.4.194 2010.02.15 Trojan/Packed.gen
    TrendMicro 9.120.0.1004 2010.02.15 Mal_Pai-15
    VBA32 3.12.12.2 2010.02.14 AdWare.Win32.FlyStudio.l
    ViRobot 2010.2.13.2186 2010.02.13 Adware.FlyStudio.23552.BPR
    VirusBuster 5.0.21.0 2010.02.14 Trojan.Aesevin.Gen
    Information additionnelle
    File size: 23552 bytes
    MD5...: 3ed8bce80acde653b2f3ae92befb8132
    SHA1..: fd913affbb3ae35c5da53487d5ad189a3854ddff
    SHA256: 4cace520feb8cbc1fbc85aaccdad6fc6bcc9d1bc81f5f87e0f2fb0b470479d98
    ssdeep: 384:0r4NXhQxRNRZpgxhtCSuawdKtk0dUPscq149PJpbBprUpOmBy4t9jt2+trok
    OPNP:0miRNRLgpCSVwdKtk0dUPscqe9BpbBpe
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1224
    timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x634 0x800 6.33 320e76b2d9cfca6562d41a97874d289e
    .rdata 0x2000 0x194 0x200 3.64 684bd04c4e90ebb1ac24b9d56ab5240e
    .data 0x3000 0x4600 0x4600 6.92 3da6c46963d20f340f73fd290f4fda05
    .rsrc 0x8000 0x620 0x800 1.98 8048e4f0bc7ddc4497e91c706d8faeba

    ( 3 imports )
    > USER32.dll: MessageBoxA
    > KERNEL32.dll: FreeLibrary, lstrcatA, GetModuleFileNameA, ExitProcess, LoadLibraryA, GetProcAddress, lstrlenA
    > ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA

    ( 0 exports )
    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Win32 Executable Generic (38.5%)
    Win32 Dynamic Link Library (generic) (34.2%)
    Clipper DOS Executable (9.1%)
    Generic Win/DOS Executable (9.0%)
    DOS Executable Generic (9.0%)
    sigcheck:
    publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=63E473FA008655875CB90084326935003A51986C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=63E473FA008655875CB90084326935003A51986C</a>
    packers (Kaspersky): PE-Crypt.CF
    packers (F-Prot): PE-Crypt.CF
    packers (Authentium): PE-Crypt.CF
    0
  16. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu ouvre malwarebytes , tu cliques sur l'onglet autre outil , et puis sous File Assassin clique sur lancer l'outil et tu recherches A-81U7.EXE comme pour virus total et une fois trouver et sélectionner en double cliquand dessus , tu le supprimes en disant oui au message qui apparait
    0
  17. denis
     
    Salut,

    J'ai refais un scan avast et il me détecte toujours des virus, j'arrive pas à récup de rapport de scan donc voici un copier coller des alertes que j'ai eu :

    c:\docume~1\denis\locals~1\temp\e_n4\krnln.fnr
    Win32:Malware-gen

    c:\windows\system32\81ba7a\ec6f16.exe
    Win32:Trojan-gen

    C:\WINDOWS\system32\1D23A6\A-81U7.EXE
    Win32:Malware-gen

    C:\WINDOWS\system32\1D23A6\A-82U7.EXE
    Win32:Malware-gen

    F:\_Restore.exe
    Win32:Trojan-gen

    F:\.Trashes.exe
    Win32:Trojan-gen

    J'avais lu dans des post qu'il était nécessaire des fois de redémarrer en mode sans échec pour lancer les antivirus, tu penses que ça pourrait changer quelquechose ?

    Merci de ton acharnement à m'aider c'est vraiment sympa
    0
  18. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, tu vas passer combofix , tu connectes ton dd externe !!

    Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge Combofix.exe de sUBs sur ton Bureau,

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement.

    Doubles clique sur Combofix.exe
    Mets le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    tu Ne touches à rien tant que le scan n'est pas terminé.

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.

    Note : Le rapport se trouve également là : C:\Combofix.txt
    0
  19. denis
     
    voila le log :

    ComboFix 10-02-12.01 - denis 16/02/2010 23:06:43.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1215.851 [GMT 1:00]
    Running from: c:\documents and settings\denis\Desktop\ComboFix.exe
    AV: avast! antivirus 4.7.892 [VPS 100216-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\denis\LOCALS~1\Temp\E_N4
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\cnvpe.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\dp1.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\eAPI.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\HtmlView.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\internet.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\krnln.fnr
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\shell.fne
    c:\docume~1\denis\LOCALS~1\Temp\E_N4\spec.fne
    c:\windows\system32\027591
    c:\windows\system32\027591\27f38a.txt
    c:\windows\system32\027591\b424ff.txt

    .
    ((((((((((((((((((((((((( Files Created from 2010-01-16 to 2010-02-16 )))))))))))))))))))))))))))))))
    .

    2010-02-15 20:52 . 2007-10-04 16:42 48128 ----a-w- c:\windows\system32\Remove.exe
    2010-02-15 20:52 . 2007-11-08 09:29 458752 ----a-w- c:\windows\system32\drivers\PAC7302.SYS
    2010-02-15 20:52 . 2010-02-15 20:52 -------- d-----w- c:\program files\PixArt
    2010-02-15 20:52 . 2010-02-15 20:52 -------- d-----w- c:\program files\Common Files\PAC7302
    2010-02-15 20:52 . 2006-10-12 10:57 14336 ----a-w- c:\windows\system32\P7302USD.dll
    2010-02-14 11:34 . 2010-02-14 11:34 -------- d-----w- C:\Kill'em
    2010-02-14 11:09 . 2010-02-14 11:09 -------- d-----w- c:\program files\List_Kill'em
    2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\documents and settings\denis\Application Data\Malwarebytes
    2010-02-10 21:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-10 21:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-08 23:16 . 2010-02-08 23:16 1512226 ----a-w- C:\UsbFix_Upload_Me_DENIS-685B39FFE.zip
    2010-02-08 22:31 . 2010-02-08 23:16 -------- d-----w- C:\UsbFix
    2010-02-08 22:20 . 2010-02-08 22:22 -------- dc----w- c:\windows\system32\DRVSTORE
    2010-02-08 21:46 . 2010-02-08 22:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-02-08 21:46 . 2010-02-08 22:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-02-08 21:15 . 2010-02-08 22:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-02-03 23:07 . 2006-09-25 16:39 16352 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-02-03 23:07 . 2006-09-25 16:39 36176 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-02-03 23:07 . 2006-09-25 16:37 24560 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-02-03 23:07 . 2006-09-25 16:40 85952 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-02-03 23:07 . 2006-09-25 16:40 87424 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-02-03 23:07 . 2006-09-25 16:45 666240 ----a-w- c:\windows\system32\aswBoot.exe
    2010-02-03 23:07 . 2006-09-25 16:37 90112 ----a-w- c:\windows\system32\AVASTSS.scr
    2010-02-03 23:07 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
    2010-02-03 23:07 . 2003-03-18 20:14 499712 ----a-w- c:\windows\system32\MSVCP71.dll
    2010-02-03 23:07 . 2003-02-21 04:42 348160 ----a-w- c:\windows\system32\MSVCR71.dll
    2010-02-03 23:07 . 2010-02-03 23:07 -------- d-----w- c:\program files\Alwil Software
    2010-02-03 18:37 . 2010-02-14 18:54 -------- d-----w- c:\documents and settings\denis\Application Data\dvdcss
    2010-02-02 09:01 . 2010-02-16 20:38 -------- d--h--w- c:\windows\system32\1D23A6
    2010-02-02 09:01 . 2010-02-08 19:23 -------- d--h--w- c:\windows\system32\81BA7A
    2010-02-02 09:01 . 2010-02-04 21:35 -------- d--h--w- c:\windows\system32\93ACA3
    2010-02-02 08:41 . 2010-02-02 08:41 -------- d-----w- c:\windows\system32\usbdevice
    2010-02-02 08:41 . 2010-02-02 08:41 -------- d-----w- c:\program files\TRENDnet
    2010-02-02 08:40 . 2010-02-02 08:40 -------- d-----w- c:\windows\Downloaded Installations
    2010-02-01 19:32 . 2010-02-01 19:32 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Help
    2010-02-01 18:30 . 2001-08-17 21:36 5632 ----a-w- c:\windows\system32\ptpusb.dll
    2010-02-01 18:30 . 2004-08-03 23:56 159232 ----a-w- c:\windows\system32\ptpusd.dll
    2010-02-01 18:30 . 2004-08-03 21:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
    2010-02-01 18:30 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
    2010-02-01 18:17 . 2010-02-01 18:18 -------- d-----w- c:\program files\ATI Technologies
    2010-01-31 20:25 . 2010-02-15 22:39 1 ----a-w- c:\documents and settings\denis\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2010-01-31 20:24 . 2010-01-31 20:24 -------- d-----w- c:\documents and settings\denis\Application Data\OpenOffice.org
    2010-01-31 18:44 . 2004-04-17 12:54 615548 ----a-w- c:\windows\system32\drivers\ALCXWDM.SYS
    2010-01-31 18:44 . 2004-02-27 06:53 65024 ----a-w- c:\windows\SOUNDMAN.EXE
    2010-01-31 18:44 . 2004-02-25 01:08 400384 ----a-w- c:\windows\system32\drivers\ALCXSENS.SYS
    2010-01-31 18:44 . 2004-02-10 05:18 155648 ----a-w- c:\windows\system32\RTLCPAPI.dll
    2010-01-31 18:44 . 2003-08-20 09:36 65536 -c--a-w- c:\windows\system32\dllcache\a3d.dll
    2010-01-31 18:44 . 2003-08-20 09:36 65536 ----a-w- c:\windows\system32\Audio3D.dll
    2010-01-31 18:44 . 2003-08-20 09:36 65536 ----a-w- c:\windows\system32\a3d.dll
    2010-01-31 18:44 . 2002-11-22 05:07 765952 ----a-w- c:\windows\system\crlds3d.dll
    2010-01-31 18:44 . 2004-03-20 09:28 6964736 ----a-w- c:\windows\system32\RTLCPL.EXE
    2010-01-31 18:44 . 2004-03-05 11:30 1048 ------w- c:\windows\system32\drivers\alcxinit.dat
    2010-01-31 18:44 . 2004-02-28 08:14 208896 ------w- c:\windows\alcupd.exe
    2010-01-31 18:44 . 2004-02-03 08:44 139264 ------w- c:\windows\alcrmv.exe
    2010-01-31 18:26 . 2010-02-16 08:24 -------- d-----w- c:\documents and settings\denis\Application Data\vlc
    2010-01-31 18:02 . 2010-01-31 18:20 -------- d-----w- c:\windows\system32\CatRoot_bak
    2010-01-31 17:44 . 2008-05-30 13:11 467984 ----a-w- c:\windows\system32\d3dx10_38.dll
    2010-01-31 17:41 . 2010-01-31 17:41 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
    2010-01-31 17:39 . 2010-02-10 22:16 -------- d--h--w- c:\windows\msdownld.tmp
    2010-01-31 17:39 . 2010-01-31 17:39 -------- d-----w- c:\windows\Logs
    2010-01-31 17:36 . 2010-01-31 17:37 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Temp
    2010-01-31 17:36 . 2010-01-31 17:36 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
    2010-01-31 17:33 . 2010-01-31 17:33 -------- d-----w- c:\documents and settings\denis\Application Data\AdobeUM
    2010-01-31 17:33 . 2010-01-31 17:33 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Adobe
    2010-01-31 17:32 . 2010-01-31 17:32 -------- d-----w- c:\windows\Cache
    2010-01-31 17:31 . 2005-02-25 03:35 22752 ----a-w- c:\windows\system32\spupdsvc.exe
    2010-01-31 17:31 . 2010-01-31 18:00 -------- d--h--w- c:\windows\$hf_mig$
    2010-01-31 17:29 . 2010-01-31 17:29 -------- d-----w- c:\program files\OpenOffice.org 3
    2010-01-31 17:26 . 2010-01-31 17:26 -------- d-----w- c:\documents and settings\denis\OpenOffice.org 3.1 (fr) Installation Files
    2010-01-31 17:22 . 2010-01-31 17:34 -------- d-----w- c:\program files\Common Files\Adobe
    2010-01-31 17:21 . 1998-11-13 10:16 308224 ----a-w- c:\windows\IsUn040c.exe
    2010-01-31 17:10 . 2003-03-29 15:45 89184 ----a-w- c:\windows\system32\drivers\imagedrv.sys
    2010-01-31 17:10 . 2010-01-31 17:10 -------- d-----w- c:\program files\Common Files\Ahead
    2010-01-31 17:10 . 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
    2010-01-31 17:10 . 2001-07-06 17:24 283920 ----a-w- c:\windows\system32\ImagXpr5.dll
    2010-01-31 17:10 . 2001-07-06 13:41 569344 ----a-w- c:\windows\system32\imagr5.dll
    2010-01-31 17:10 . 2001-07-06 11:44 544768 ----a-w- c:\windows\system32\imagx5.dll
    2010-01-31 17:10 . 2001-06-26 07:15 38912 ----a-w- c:\windows\system32\picn20.dll
    2010-01-31 17:10 . 2010-01-31 17:10 -------- d-----w- c:\program files\Nero
    2010-01-31 17:03 . 2004-08-03 21:58 4992 -c--a-w- c:\windows\system32\dllcache\mspqm.sys
    2010-01-31 16:57 . 2007-11-02 10:07 6656 ----a-w- c:\windows\system32\CoInst_071029.dll
    2010-01-31 16:57 . 2010-01-31 16:57 -------- d-----w- c:\windows\PixArt
    2010-01-31 16:57 . 2010-02-15 20:52 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-01-31 16:57 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
    2010-01-31 16:57 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
    2010-01-31 16:57 . 2010-02-15 20:52 -------- d-----w- c:\program files\Common Files\InstallShield
    2010-01-31 16:53 . 2005-10-15 11:32 196608 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2010-01-31 16:53 . 2010-01-31 16:54 -------- d-----w- c:\program files\PDFCreator
    2010-01-31 16:53 . 1998-07-13 00:08 119568 ----a-w- c:\windows\system32\VB6FR.DLL
    2010-01-31 16:53 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2010-01-31 16:53 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
    2010-01-31 16:53 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
    2010-01-31 16:48 . 2010-02-15 20:50 -------- d-----w- c:\documents and settings\denis\Application Data\skypePM
    2010-01-31 16:46 . 2010-02-15 21:25 -------- d-----w- c:\documents and settings\denis\Application Data\Skype
    2010-01-31 16:46 . 2010-01-31 16:46 -------- d-----w- c:\program files\VideoLAN
    2010-01-31 16:44 . 2010-01-31 16:44 -------- d-----w- c:\program files\Skype
    2010-01-31 16:44 . 2010-01-31 16:44 -------- d-----w- c:\program files\Common Files\Skype
    2010-01-31 16:43 . 2010-01-31 16:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
    2010-01-31 16:38 . 2010-01-31 16:38 12736 ---ha-w- c:\windows\system32\mlfcache.dat
    2010-01-31 16:35 . 2010-01-31 16:37 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Google
    2010-01-31 16:35 . 2010-01-31 17:37 -------- d-----w- c:\program files\Google
    2010-01-31 16:23 . 2010-01-31 16:23 0 ----a-w- c:\windows\nsreg.dat
    2010-01-31 16:23 . 2010-01-31 16:23 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Mozilla
    2010-01-31 16:01 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
    2010-01-31 15:59 . 2010-01-31 17:49 16504 ----a-w- c:\documents and settings\denis\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-03 10:37 . 2010-01-31 13:32 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-01-31 17:54 . 2010-01-31 17:04 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-01-31 16:48 . 2010-01-31 16:48 32 ----a-w- c:\documents and settings\All Users\Application Data\ezsid.dat
    2010-01-31 13:33 . 2010-01-31 13:33 -------- d-----w- c:\program files\microsoft frontpage
    2010-01-31 13:29 . 2010-01-31 13:29 21640 ----a-w- c:\windows\system32\emptyregdb.dat
    2010-01-08 22:42 . 2010-01-08 22:42 3366912 ----a-w- c:\windows\system32\GPhotos.scr
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
    "PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
    "SoundMan"="SOUNDMAN.EXE" [2004-02-27 65024]
    "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-10 335872]
    "EC6F16"="c:\windows\system32\81BA7A\EC6F16.EXE" [2010-02-02 1405158]

    c:\documents and settings\denis\Start Menu\Programs\Startup\
    EC6F16.lnk - c:\windows\system32\81BA7A\EC6F16.EXE [2010-2-2 1405158]
    OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

    c:\documents and settings\All Users\Start Menu\Programs\Startup\
    Wireless Configuration Utility HW.32.lnk - c:\windows\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1_BDC88E5AF47B4314AB38994592E32C95.exe [2010-2-2 40960]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 18:36 135664]
    S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [15/02/2006 18:25 215552]
    .
    Contents of the 'Scheduled Tasks' folder

    2010-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:36]

    2010-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:36]
    .
    .
    ------- Supplementary Scan -------
    .
    uInternet Connection Wizard,ShellNext = hxxp://877-77.com/a/a4.htm
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    FF - ProfilePath - c:\documents and settings\denis\Application Data\Mozilla\Firefox\Profiles\16zpbszm.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

    ---- FIREFOX POLICIES ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-02-16 23:11
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'winlogon.exe'(540)
    c:\windows\system32\Ati2evxx.dll
    .
    Completion time: 2010-02-16 23:12:50
    ComboFix-quarantined-files.txt 2010-02-16 22:12

    Pre-Run: 107 468 701 696 bytes free
    Post-Run: 108 166 008 832 bytes free

    WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

    - - End Of File - - 43C980F6DE138B0AFD47A482C9666F9F
    0
  20. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour,
    comment va le pc
    0
  21. denis
     
    Salut,

    Toujours quelques problèmes :
    J'ai toujours des pages internet en chinois qui s'ouvrent tout seul

    Quand je lance avast il fait un test de la memoire et me trouve ces 2 virus :
    c:\docume~1\denis\locals~1\temp\e_n4\krnln.fnr
    Win32:Malware-gen

    c:\windows\system32\81ba7a\ec6f16.exe
    Win32:Trojan-gen
    D'ailleurs je regardais le dossier démarrage dans le menu démarrer et il y a ce EC6F16...bizzare!

    Aussi je n'ai plus l'icone d'avast en bas à droite, il est quand même actif en protection résidente?

    Je vais faire un scan complet avast pendant la nuit je t'enverrais le rapport. D'ailleurs peut être me conseilles-tu autre antivirus pour la suite

    Merci, ciao
    0
  • 1
  • 2