Sujet Précédent Sujet Suivant

Trojan, malware, rootkit, jeefo sur DD extern

Fermé
denis - 9 févr. 2010 à 22:21
 denis - 22 févr. 2010 à 20:01
Bonjou à tous,
Comme l'indique le titre, mon ordi et surtout mon disque dur externe sont iinfesté par tout pleins de virus qu'avast me détecte :
Win32:Trojan-gen
Win32:OnLineGames-FPM [Trj]
Win32:Malware-gen
Win32:Jeefo
Win32:Rootkit-gen [Rtk]
BV:Small-B [Trj]
VBS:Small-B [Trj]
VBS:Small
Win32:Rjump [Wrm]

C'est foutu? ou j'ai encore une chance d'avoir un ordi à peu près clean?

Je pensais transférer mes fichiers du DD externe sans infecter le disque cible (mais je sais pas du tout comment faire...) et tout formater poyr repartir à 0. Est-ce possible ???

J'ai lu quelques posts et j'ai pas mal de logiciels antivirus prêts à installer (hijackthis, a2, usbfix, cleen up, spybot....)

J'ai les rapports HiJackThis et UsbFix, je les colle à la fin.

Merci de m'aider ainsi que pleins d'autres débutants en informatique qui galèrent comme moi avec pleins de virus ;-)

config:
Win XP
Firefox3.6

rapport HiJack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:43, on 09/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\81BA7A\EC6F16.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\denis\My Documents\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://877-77.com/a/a4.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EC6F16] C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: EC6F16.lnk = C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
9 févr. 2010 à 22:30
bonjour, rien de vraiment visible sur ton hijackthis sauf que ton pc n'est pas à jour, mais un petit doute sur une possible infection vundo , je te propose de passer malwarebytes mais je vais te donner un lien ou je l'aurais renommé avant

Télécharges Malwarebytes'Anti-Malware que j'ai renommé en jacmal :http://sd-1.archive-host.com/membres/up/89820622056365782/jacmal.exe


. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Il va se mettre à jour, si il ne le fait pas automatiquement fais le en allant Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour, une fois faite
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)

. cliques sur Supprimer la sélection

. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarres le pc si il ne l'a pas fait automatiquement
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
0
denis
10 févr. 2010 à 23:30
Salut jacques, merci de ton aide, j'ai fait tout ce que tu m'as dis. Le rapport Malwarebytes est à la fin. Avast me détecte toujours des virus sur mes disques.

J'avais oublié de préciser : sur le dossier racine de mon DD, il m'a transformé des dossiers en fichiers .exe. Je peux accéder à ces dossiers qu'en tapant le chemin d'accès dans la barre d'adresse... Peut être quelqu'un a déjà eu ce problème !?


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3721
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10/02/2010 23:15:04
mbam-log-2010-02-10 (23-15-04).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 205990
Temps écoulé: 43 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\1D23A6\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
0
Réponse 2 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
11 févr. 2010 à 18:25
bonjour, quand tu as fais usbfix est ce que tu avais bien ton dd externe conserné de connecté ??
0
Réponse 3 / 22
denis
13 févr. 2010 à 20:40
Salut,

Désolé de ma réponse tardive, je suis pas souvent sur mon ordi en ce moment

Oui il était bien connecté, j'ai vérifié dans le rapport usbfix, il l'a reconnu :

F:\ -> Local Fixed Disk # 232,83 Go (27,82 Go free) [LASSIE] # FAT32
0
Réponse 4 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 févr. 2010 à 11:21
ok et avast il te donne quoi comme chemin ?? endroit ou il les trouve !!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
denis
14 févr. 2010 à 11:44
Pour le DD externe il trouve :

Dans le dossier racine F:
Recycle.exe (Trojan)
autorun.inf (Malware)

Dans le dossier D:\System Volume Information\_restore{3AA4E4DF-DBAB-4B07-BE26-E50C41D8D1A0}\RP11
Malware, rootkit, Jeefo, OnLineGames


Pour le disque local

C:\WINDOWS\system32\1D23A6\A-81U7.EXE (Malware)
0
Réponse 6 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 févr. 2010 à 11:58
bonjour, tu passes List&Kill'em

Desactives la protection residente de ton antivirus et ton parefeu et anti-spyware si present , le temps du scan

passes List&Kill'em

télécharges le sur le bureau : http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe


il ne demande pas d'installation tu doubles cliques dessus " pour vista clique droit et en tant que administrateur "

tu mets f pour français et valides avec entrée

tu choisis 1= Mode Recherche et entrée tu le laisse travailler et tu postes le rapport

il est sinon conservé à la racine du disque système









Desactives la protection residente de ton antivirus et ton parefeu et anti-spyware si present , le temps du scan

Relances List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

ferme-le.

un deuxieme rapport va s'ouvrir ,

colle son contenu dans ta reponse

C:\Kill'em.txt
0
Réponse 7 / 22
denis
14 févr. 2010 à 12:33
Voici le rapport du mode recherche, je lance la suppression :

List'em by g3n-h@ckm@n 1.2.5.0

User : denis (Administrators)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 12:09:55 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Celeron(R) CPU 2.60GHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.7.892 [VPS 100213-1] 4.7.892 [ (!) Disabled | Updated ]

C:\ -> Local Fixed Disk | 109,78 Go (99,49 Go free) | NTFS
E:\ -> CD-ROM Disc
F:\ -> Local Fixed Disk | 232,83 Go (28,34 Go free) [LASSIE] | FAT32

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\81BA7A\EC6F16.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\denis\Local Settings\Temp\10.tmp\pv.exe

======================
Keys "Run"
======================
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
{0228e555-4f9c-4e35-a3ec-b109a192b4c2} REG_SZ C:\Program Files\Google\Gmail Notifier\gnotify.exe
PAC7302_Monitor REG_SZ C:\WINDOWS\PixArt\PAC7302\Monitor.exe
NeroCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
SoundMan REG_SZ SOUNDMAN.EXE
ATIModeChange REG_SZ Ati2mdxx.exe
ATIPTA REG_SZ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
EC6F16 REG_SZ C:\WINDOWS\system32\81BA7A\EC6F16.EXE
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

=====================
Other Keys
=====================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername REG_DWORD 0 (0x0)
legalnoticecaption REG_SZ
legalnoticetext REG_SZ
shutdownwithoutlogon REG_DWORD 1 (0x1)
undockwithoutlogon REG_DWORD 1 (0x1)

===============
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
NoDriveAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveAutoRun REG_DWORD 255 (0xff)
NoDriveTypeAutoRun REG_DWORD 255 (0xff)
HonorAutoRunSetting REG_DWORD 0 (0x0)

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

===============
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell REG_DWORD 1 (0x1)
DefaultDomainName REG_SZ DENIS-685B39FFE
DefaultUserName REG_SZ denis
LegalNoticeCaption REG_SZ
LegalNoticeText REG_SZ
PowerdownAfterShutdown REG_SZ 0
ReportBootOk REG_SZ 1
Shell REG_SZ explorer.exe
ShutdownWithoutLogon REG_SZ 0
System REG_SZ
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,
VmApplet REG_SZ rundll32 shell32,Control_RunDLL "sysdm.cpl"
SfcQuota REG_DWORD -1 (0xffffffff)
allocatecdroms REG_SZ 0
allocatedasd REG_SZ 0
allocatefloppies REG_SZ 0
cachedlogonscount REG_SZ 10
forceunlocklogon REG_DWORD 0 (0x0)
passwordexpirywarning REG_DWORD 14 (0xe)
scremoveoption REG_SZ 0
AllowMultipleTSSessions REG_DWORD 1 (0x1)
UIHost REG_EXPAND_SZ logonui.exe
LogonType REG_DWORD 1 (0x1)
Background REG_SZ 0 0 0
DebugServerCommand REG_SZ no
SFCDisable REG_DWORD 0 (0x0)
WinStationsDisabled REG_SZ 0
HibernationPreviouslyEnabled REG_DWORD 1 (0x1)
ShowLogonOptions REG_DWORD 0 (0x0)
AltDefaultUserName REG_SZ denis
AltDefaultDomainName REG_SZ DENIS-685B39FFE

===============
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\AtiExtEvent]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt32chain]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cryptnet]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cscdll]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ScCertProp]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Schedule]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sclgntfy]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SensLogn]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\termsrv]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlballoon]

===============
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{AEB6717E-7E19-11d0-97EE-00C04FD91972} REG_SZ

===============
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
C:\Program Files\Skype\Phone\Skype.exe REG_SZ C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype. Take a deep breath

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

===============
ActivX controls
===============

===============
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{26923b43-4d38-484f-9b9e-de460746276c}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10072CEC-8CC1-11D1-986E-00A0C955B42F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{283807B5-2C60-11D0-A31D-00AA00B92C03}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{36f8ec70-c29a-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3af36230-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4278c270-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA848-CC51-11CF-AAFA-00AA00B6015C}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA855-CC51-11CF-AAFA-00AA00B6015F}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{45ea75a0-a269-11d1-b5bf-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4b218e3e-bc98-4770-93d3-2731b9329278}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f216970-c90c-11d1-b5c7-0000f8051515}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4f645220-306d-11d2-995d-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5945c046-1e7d-11d1-bc44-00c04fd912be}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5A8D6EE0-3E18-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{630b1da0-b465-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6fab99d0-bab8-11d1-994a-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7790769C-0471-11d2-AF11-00C04FA35D02}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4340}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9381D8F2-0288-11D0-9501-00AA00B911A5}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9E9A340-D1F1-11D0-821E-444553540600}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CC2A9BA0-3BDD-11D0-821E-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CDD7975E-60F8-41d5-8149-19E51D6F71D0}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D27CDB6E-AE6D-11cf-96B8-444553540000}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{de5aed00-a4bf-11d1-9948-00c04f98bbc9}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E92B03AB-B707-11d2-9CBD-0000F87A369E}

==============
BHO :
======

================
Internet Explorer :
================
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

========
Services
========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

Ndisuio : 0x3 ( OK = 3 )
SharedAccess : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )

=========
Atapi.sys
=========

%%%% HASHDEEP-1.0
%%%% size,md5,sha256,filename
## Invoked from: C:\Documents and Settings\denis\Local Settings\Temp\10.tmp
## C:\> hashdeep C:\WINDOWS\System32\Drivers\atapi.sys
##
95360,cdfe4411a69c224bd1d11b2da92dac51,0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d,C:\WINDOWS\System32\Drivers\atapi.sys


Sources
=======

C:\WINDOWS\SoftwareDistribution\Download\9866fb57abdc0ea2f5d4e132d055ba4e\atapi.sys
C:\WINDOWS\system32\drivers\atapi.sys

Référence :
==========

Win XP_32b : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b : 02062C0B390B7729EDC9E69C680A6F3C

=======
Drive :
=======

Windows Disk Defragmenter
Copyright (c) 2001 Microsoft Corp. and Executive Software International, Inc.

Analysis Report
110 GB Total, 99,49 GB (90%) Free, 8% Fragmented (17% file fragmentation)

You do not need to defragment this volume.

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\WINDOWS\SET3.tmp
Present !! : C:\WINDOWS\SET4.tmp
Present !! : C:\WINDOWS\SET8.tmp

¤¤¤¤¤¤¤¤¤¤ Keys :

Present !! : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Present !! : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"

============

catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-14 12:20:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
kernel: MBR read successfully
user & kernel MBR OK

==========
Programs
==========

Adobe
Alwil Software
ATI Technologies
Common Files
ComPlus Applications
Google
InstallShield Installation Information
Internet Explorer
List_Kill'em
Malwarebytes' Anti-Malware
Messenger
microsoft frontpage
Movie Maker
Mozilla Firefox
MSN
MSN Gaming Zone
Nero
NetMeeting
Online Services
OpenOffice.org 3
Outlook Express
PDFCreator
PixArt
Skype
Spybot - Search & Destroy
TRENDnet
Uninstall Information
VideoLAN
Windows Media Player
Windows NT
WindowsUpdate
WinRAR
xerox

============
Drive C:
============

AUTOEXEC.BAT
autorun.inf
boot.ini
CONFIG.SYS
Documents and Settings
IO.SYS
Kill'em
List'em.txt
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
Program Files
RECYCLER
System Volume Information
UsbFix
UsbFix.txt
UsbFix_Upload_Me_DENIS-685B39FFE.zip
WINDOWS

¤¤¤¤¤¤¤¤¤¤ Cracks | Keygens | Serials





¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 12:30:40,32
0
Réponse 8 / 22
denis
14 févr. 2010 à 12:52
et voila le rapport de suppression:

Kill'em by g3n-h@ckm@n 1.2.5.0

User : denis (Administrators)
Update on 08/02/2010 by g3n-h@ckm@n ::::: 15.30
Start at: 12:34:20 | 14/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Celeron(R) CPU 2.60GHz
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Disabled
AV : avast! antivirus 4.7.892 [VPS 100213-1] 4.7.892 [ (!) Disabled | Updated ]

C:\ -> Local Fixed Disk | 109,78 Go (99,49 Go free) | NTFS
E:\ -> CD-ROM Disc
F:\ -> Local Fixed Disk | 232,83 Go (28,34 Go free) [LASSIE] | FAT32


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\81BA7A\EC6F16.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\denis\Local Settings\Temp\17.tmp\ERUNT.EXE
C:\Documents and Settings\denis\Local Settings\Temp\17.tmp\pv.exe

Detections :
==========


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp


==============
host file OK !
==============

========
Registry
========

Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NeroCheck
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
========
Services
=========

Ndisuio : Start = 3
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

=================
anti-ver blaster : OK !!
=================

================
Prefetch cleaned
================



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 9 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 févr. 2010 à 17:07
ok peux tu poster un nouveau hijackthis, merci
0
Réponse 10 / 22
denis
14 févr. 2010 à 19:47
J'ai testé un peu avec Avast, il me trouve toujours le Malware dans system32\1D23A6. Celui de autorun.inf a du disparaitre, cool un de moins ;)

Voici le HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:24, on 14/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\WINDOWS\PixArt\PAC7302\Monitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\WINDOWS\system32\81BA7A\EC6F16.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\1D23A6\NC5EBB5F.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Documents and Settings\denis\My Documents\Téléchargements\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://877-77.com/a/a4.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [PAC7302_Monitor] C:\WINDOWS\PixArt\PAC7302\Monitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EC6F16] C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: EC6F16.lnk = C:\WINDOWS\system32\81BA7A\EC6F16.EXE
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
0
Réponse 11 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 févr. 2010 à 22:48
ok tu vas refaire malwarebytes , car il avait trouver et virer une partie de la chose
Fichier(s) infecté(s):
C:\WINDOWS\system32\1D23A6\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.

tu ouvres malwarebytes et tu fais la mise à jour et puis après tu fais un examem complet du pc si il ne le vires pas on verra avec file assassin

0
Réponse 12 / 22
denis
14 févr. 2010 à 23:22
Voilà :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3739
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

14/02/2010 23:21:48
mbam-log-2010-02-14 (23-21-48).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 206990
Temps écoulé: 26 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 13 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
14 févr. 2010 à 23:35
bizare qu'il ne trouve rien avant de te le faire virer avec file assassin tu vas le faire analyser sur virus total !!

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :A-81U7.EXE tu le trouveras ici: C:\WINDOWS\system32\1D23A6

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
0
Réponse 14 / 22
denis
15 févr. 2010 à 08:21
Virus Total :

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.15 Trojan.Dloader!IK
AhnLab-V3 5.0.0.2 2010.02.14 Win-Trojan/Flystudio.23552.B
AntiVir 7.9.1.170 2010.02.14 TR/Downloader.Gen2
Antiy-AVL 2.0.3.7 2010.02.15 -
Authentium 5.2.0.5 2010.02.15 W32/Agent.CM.gen!Eldorado
Avast 4.8.1351.0 2010.02.14 Win32:Malware-gen
AVG 9.0.0.730 2010.02.14 FlyCrypt
BitDefender 7.2 2010.02.15 Trojan.Generic.3016623
CAT-QuickHeal 10.00 2010.02.15 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.15 -
Comodo 3941 2010.02.15 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.02.15 -
eSafe 7.0.17.0 2010.02.14 Win32.TRDownloader
eTrust-Vet 35.2.7303 2010.02.15 -
F-Prot 4.5.1.85 2010.02.15 W32/Agent.CM.gen!Eldorado
F-Secure 9.0.15370.0 2010.02.15 Trojan-Dropper:W32/Peed.gen!A
Fortinet 4.0.14.0 2010.02.15 PossibleThreat
GData 19 2010.02.15 Trojan.Generic.3016623
Ikarus T3.1.1.80.0 2010.02.15 Trojan.Dloader
Jiangmin 13.0.900 2010.02.15 Heur:Adware/FlyStudio
K7AntiVirus 7.10.972 2010.02.12 not-a-virus:AdWare.Win32.FlyStudio.l
Kaspersky 7.0.0.125 2010.02.15 not-a-virus:AdWare.Win32.FlyStudio.l
McAfee 5892 2010.02.14 Generic.dx!mxg
McAfee+Artemis 5892 2010.02.14 Generic.dx!mxg
McAfee-GW-Edition 6.8.5 2010.02.15 Trojan.Downloader.Gen2
Microsoft 1.5406 2010.02.14 Trojan:Win32/Aesevin.B
NOD32 4866 2010.02.14 a variant of Win32/Packed.FlyStudio
Norman 6.04.08 2010.02.14 -
nProtect 2009.1.8.0 2010.02.14 -
Panda 10.0.2.2 2010.02.14 W32/FlySky.BF
PCTools 7.0.3.5 2010.02.15 Backdoor.Trojan
Prevx 3.0 2010.02.15 High Risk Cloaked Malware
Rising 22.34.01.03 2010.02.11 Trojan.Win32.Generic.51F91B45
Sophos 4.50.0 2010.02.15 Mal/EncPk-NB
Sunbelt 5678 2010.02.15 Trojan.Win32.Autorun.dm (v)
Symantec 20091.2.0.41 2010.02.15 Backdoor.Trojan
TheHacker 6.5.1.4.194 2010.02.15 Trojan/Packed.gen
TrendMicro 9.120.0.1004 2010.02.15 Mal_Pai-15
VBA32 3.12.12.2 2010.02.14 AdWare.Win32.FlyStudio.l
ViRobot 2010.2.13.2186 2010.02.13 Adware.FlyStudio.23552.BPR
VirusBuster 5.0.21.0 2010.02.14 Trojan.Aesevin.Gen
Information additionnelle
File size: 23552 bytes
MD5...: 3ed8bce80acde653b2f3ae92befb8132
SHA1..: fd913affbb3ae35c5da53487d5ad189a3854ddff
SHA256: 4cace520feb8cbc1fbc85aaccdad6fc6bcc9d1bc81f5f87e0f2fb0b470479d98
ssdeep: 384:0r4NXhQxRNRZpgxhtCSuawdKtk0dUPscq149PJpbBprUpOmBy4t9jt2+trok
OPNP:0miRNRLgpCSVwdKtk0dUPscqe9BpbBpe
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1224
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x634 0x800 6.33 320e76b2d9cfca6562d41a97874d289e
.rdata 0x2000 0x194 0x200 3.64 684bd04c4e90ebb1ac24b9d56ab5240e
.data 0x3000 0x4600 0x4600 6.92 3da6c46963d20f340f73fd290f4fda05
.rsrc 0x8000 0x620 0x800 1.98 8048e4f0bc7ddc4497e91c706d8faeba

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: FreeLibrary, lstrcatA, GetModuleFileNameA, ExitProcess, LoadLibraryA, GetProcAddress, lstrlenA
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=63E473FA008655875CB90084326935003A51986C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=63E473FA008655875CB90084326935003A51986C</a>
packers (Kaspersky): PE-Crypt.CF
packers (F-Prot): PE-Crypt.CF
packers (Authentium): PE-Crypt.CF
0
Réponse 15 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
15 févr. 2010 à 17:11
bonjour, tu ouvre malwarebytes , tu cliques sur l'onglet autre outil , et puis sous File Assassin clique sur lancer l'outil et tu recherches A-81U7.EXE comme pour virus total et une fois trouver et sélectionner en double cliquand dessus , tu le supprimes en disant oui au message qui apparait
0
Réponse 16 / 22
denis
16 févr. 2010 à 00:10
Salut,

J'ai refais un scan avast et il me détecte toujours des virus, j'arrive pas à récup de rapport de scan donc voici un copier coller des alertes que j'ai eu :

c:\docume~1\denis\locals~1\temp\e_n4\krnln.fnr
Win32:Malware-gen

c:\windows\system32\81ba7a\ec6f16.exe
Win32:Trojan-gen

C:\WINDOWS\system32\1D23A6\A-81U7.EXE
Win32:Malware-gen

C:\WINDOWS\system32\1D23A6\A-82U7.EXE
Win32:Malware-gen

F:\_Restore.exe
Win32:Trojan-gen

F:\.Trashes.exe
Win32:Trojan-gen

J'avais lu dans des post qu'il était nécessaire des fois de redémarrer en mode sans échec pour lancer les antivirus, tu penses que ça pourrait changer quelquechose ?

Merci de ton acharnement à m'aider c'est vraiment sympa
0
Réponse 17 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
16 févr. 2010 à 10:51
bonjour, tu vas passer combofix , tu connectes ton dd externe !!

Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge Combofix.exe de sUBs sur ton Bureau,

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement.

Doubles clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

tu Ne touches à rien tant que le scan n'est pas terminé.

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.

Note : Le rapport se trouve également là : C:\Combofix.txt
0
Réponse 18 / 22
denis
16 févr. 2010 à 23:20
voila le log :

ComboFix 10-02-12.01 - denis 16/02/2010 23:06:43.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1215.851 [GMT 1:00]
Running from: c:\documents and settings\denis\Desktop\ComboFix.exe
AV: avast! antivirus 4.7.892 [VPS 100216-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\denis\LOCALS~1\Temp\E_N4
c:\docume~1\denis\LOCALS~1\Temp\E_N4\cnvpe.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\dp1.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\eAPI.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\HtmlView.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\internet.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\krnln.fnr
c:\docume~1\denis\LOCALS~1\Temp\E_N4\shell.fne
c:\docume~1\denis\LOCALS~1\Temp\E_N4\spec.fne
c:\windows\system32\027591
c:\windows\system32\027591\27f38a.txt
c:\windows\system32\027591\b424ff.txt

.
((((((((((((((((((((((((( Files Created from 2010-01-16 to 2010-02-16 )))))))))))))))))))))))))))))))
.

2010-02-15 20:52 . 2007-10-04 16:42 48128 ----a-w- c:\windows\system32\Remove.exe
2010-02-15 20:52 . 2007-11-08 09:29 458752 ----a-w- c:\windows\system32\drivers\PAC7302.SYS
2010-02-15 20:52 . 2010-02-15 20:52 -------- d-----w- c:\program files\PixArt
2010-02-15 20:52 . 2010-02-15 20:52 -------- d-----w- c:\program files\Common Files\PAC7302
2010-02-15 20:52 . 2006-10-12 10:57 14336 ----a-w- c:\windows\system32\P7302USD.dll
2010-02-14 11:34 . 2010-02-14 11:34 -------- d-----w- C:\Kill'em
2010-02-14 11:09 . 2010-02-14 11:09 -------- d-----w- c:\program files\List_Kill'em
2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\documents and settings\denis\Application Data\Malwarebytes
2010-02-10 21:27 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-10 21:27 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-10 21:27 . 2010-02-10 21:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-08 23:16 . 2010-02-08 23:16 1512226 ----a-w- C:\UsbFix_Upload_Me_DENIS-685B39FFE.zip
2010-02-08 22:31 . 2010-02-08 23:16 -------- d-----w- C:\UsbFix
2010-02-08 22:20 . 2010-02-08 22:22 -------- dc----w- c:\windows\system32\DRVSTORE
2010-02-08 21:46 . 2010-02-08 22:30 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-08 21:46 . 2010-02-08 22:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-02-08 21:15 . 2010-02-08 22:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-02-03 23:07 . 2006-09-25 16:39 16352 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-03 23:07 . 2006-09-25 16:39 36176 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-03 23:07 . 2006-09-25 16:37 24560 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-03 23:07 . 2006-09-25 16:40 85952 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-03 23:07 . 2006-09-25 16:40 87424 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-03 23:07 . 2006-09-25 16:45 666240 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-03 23:07 . 2006-09-25 16:37 90112 ----a-w- c:\windows\system32\AVASTSS.scr
2010-02-03 23:07 . 2003-03-18 21:20 1060864 ----a-w- c:\windows\system32\MFC71.dll
2010-02-03 23:07 . 2003-03-18 20:14 499712 ----a-w- c:\windows\system32\MSVCP71.dll
2010-02-03 23:07 . 2003-02-21 04:42 348160 ----a-w- c:\windows\system32\MSVCR71.dll
2010-02-03 23:07 . 2010-02-03 23:07 -------- d-----w- c:\program files\Alwil Software
2010-02-03 18:37 . 2010-02-14 18:54 -------- d-----w- c:\documents and settings\denis\Application Data\dvdcss
2010-02-02 09:01 . 2010-02-16 20:38 -------- d--h--w- c:\windows\system32\1D23A6
2010-02-02 09:01 . 2010-02-08 19:23 -------- d--h--w- c:\windows\system32\81BA7A
2010-02-02 09:01 . 2010-02-04 21:35 -------- d--h--w- c:\windows\system32\93ACA3
2010-02-02 08:41 . 2010-02-02 08:41 -------- d-----w- c:\windows\system32\usbdevice
2010-02-02 08:41 . 2010-02-02 08:41 -------- d-----w- c:\program files\TRENDnet
2010-02-02 08:40 . 2010-02-02 08:40 -------- d-----w- c:\windows\Downloaded Installations
2010-02-01 19:32 . 2010-02-01 19:32 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Help
2010-02-01 18:30 . 2001-08-17 21:36 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-02-01 18:30 . 2004-08-03 23:56 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-02-01 18:30 . 2004-08-03 21:58 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-02-01 18:30 . 2004-08-03 21:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-02-01 18:17 . 2010-02-01 18:18 -------- d-----w- c:\program files\ATI Technologies
2010-01-31 20:25 . 2010-02-15 22:39 1 ----a-w- c:\documents and settings\denis\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-01-31 20:24 . 2010-01-31 20:24 -------- d-----w- c:\documents and settings\denis\Application Data\OpenOffice.org
2010-01-31 18:44 . 2004-04-17 12:54 615548 ----a-w- c:\windows\system32\drivers\ALCXWDM.SYS
2010-01-31 18:44 . 2004-02-27 06:53 65024 ----a-w- c:\windows\SOUNDMAN.EXE
2010-01-31 18:44 . 2004-02-25 01:08 400384 ----a-w- c:\windows\system32\drivers\ALCXSENS.SYS
2010-01-31 18:44 . 2004-02-10 05:18 155648 ----a-w- c:\windows\system32\RTLCPAPI.dll
2010-01-31 18:44 . 2003-08-20 09:36 65536 -c--a-w- c:\windows\system32\dllcache\a3d.dll
2010-01-31 18:44 . 2003-08-20 09:36 65536 ----a-w- c:\windows\system32\Audio3D.dll
2010-01-31 18:44 . 2003-08-20 09:36 65536 ----a-w- c:\windows\system32\a3d.dll
2010-01-31 18:44 . 2002-11-22 05:07 765952 ----a-w- c:\windows\system\crlds3d.dll
2010-01-31 18:44 . 2004-03-20 09:28 6964736 ----a-w- c:\windows\system32\RTLCPL.EXE
2010-01-31 18:44 . 2004-03-05 11:30 1048 ------w- c:\windows\system32\drivers\alcxinit.dat
2010-01-31 18:44 . 2004-02-28 08:14 208896 ------w- c:\windows\alcupd.exe
2010-01-31 18:44 . 2004-02-03 08:44 139264 ------w- c:\windows\alcrmv.exe
2010-01-31 18:26 . 2010-02-16 08:24 -------- d-----w- c:\documents and settings\denis\Application Data\vlc
2010-01-31 18:02 . 2010-01-31 18:20 -------- d-----w- c:\windows\system32\CatRoot_bak
2010-01-31 17:44 . 2008-05-30 13:11 467984 ----a-w- c:\windows\system32\d3dx10_38.dll
2010-01-31 17:41 . 2010-01-31 17:41 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-01-31 17:39 . 2010-02-10 22:16 -------- d--h--w- c:\windows\msdownld.tmp
2010-01-31 17:39 . 2010-01-31 17:39 -------- d-----w- c:\windows\Logs
2010-01-31 17:36 . 2010-01-31 17:37 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Temp
2010-01-31 17:36 . 2010-01-31 17:36 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-01-31 17:33 . 2010-01-31 17:33 -------- d-----w- c:\documents and settings\denis\Application Data\AdobeUM
2010-01-31 17:33 . 2010-01-31 17:33 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Adobe
2010-01-31 17:32 . 2010-01-31 17:32 -------- d-----w- c:\windows\Cache
2010-01-31 17:31 . 2005-02-25 03:35 22752 ----a-w- c:\windows\system32\spupdsvc.exe
2010-01-31 17:31 . 2010-01-31 18:00 -------- d--h--w- c:\windows\$hf_mig$
2010-01-31 17:29 . 2010-01-31 17:29 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-31 17:26 . 2010-01-31 17:26 -------- d-----w- c:\documents and settings\denis\OpenOffice.org 3.1 (fr) Installation Files
2010-01-31 17:22 . 2010-01-31 17:34 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-31 17:21 . 1998-11-13 10:16 308224 ----a-w- c:\windows\IsUn040c.exe
2010-01-31 17:10 . 2003-03-29 15:45 89184 ----a-w- c:\windows\system32\drivers\imagedrv.sys
2010-01-31 17:10 . 2010-01-31 17:10 -------- d-----w- c:\program files\Common Files\Ahead
2010-01-31 17:10 . 2001-07-09 10:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2010-01-31 17:10 . 2001-07-06 17:24 283920 ----a-w- c:\windows\system32\ImagXpr5.dll
2010-01-31 17:10 . 2001-07-06 13:41 569344 ----a-w- c:\windows\system32\imagr5.dll
2010-01-31 17:10 . 2001-07-06 11:44 544768 ----a-w- c:\windows\system32\imagx5.dll
2010-01-31 17:10 . 2001-06-26 07:15 38912 ----a-w- c:\windows\system32\picn20.dll
2010-01-31 17:10 . 2010-01-31 17:10 -------- d-----w- c:\program files\Nero
2010-01-31 17:03 . 2004-08-03 21:58 4992 -c--a-w- c:\windows\system32\dllcache\mspqm.sys
2010-01-31 16:57 . 2007-11-02 10:07 6656 ----a-w- c:\windows\system32\CoInst_071029.dll
2010-01-31 16:57 . 2010-01-31 16:57 -------- d-----w- c:\windows\PixArt
2010-01-31 16:57 . 2010-02-15 20:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-31 16:57 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-31 16:57 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-01-31 16:57 . 2010-02-15 20:52 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-31 16:53 . 2005-10-15 11:32 196608 ----a-w- c:\windows\system32\pdfcmnnt.dll
2010-01-31 16:53 . 2010-01-31 16:54 -------- d-----w- c:\program files\PDFCreator
2010-01-31 16:53 . 1998-07-13 00:08 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-01-31 16:53 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
2010-01-31 16:53 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-01-31 16:53 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
2010-01-31 16:48 . 2010-02-15 20:50 -------- d-----w- c:\documents and settings\denis\Application Data\skypePM
2010-01-31 16:46 . 2010-02-15 21:25 -------- d-----w- c:\documents and settings\denis\Application Data\Skype
2010-01-31 16:46 . 2010-01-31 16:46 -------- d-----w- c:\program files\VideoLAN
2010-01-31 16:44 . 2010-01-31 16:44 -------- d-----w- c:\program files\Skype
2010-01-31 16:44 . 2010-01-31 16:44 -------- d-----w- c:\program files\Common Files\Skype
2010-01-31 16:43 . 2010-01-31 16:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2010-01-31 16:38 . 2010-01-31 16:38 12736 ---ha-w- c:\windows\system32\mlfcache.dat
2010-01-31 16:35 . 2010-01-31 16:37 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Google
2010-01-31 16:35 . 2010-01-31 17:37 -------- d-----w- c:\program files\Google
2010-01-31 16:23 . 2010-01-31 16:23 0 ----a-w- c:\windows\nsreg.dat
2010-01-31 16:23 . 2010-01-31 16:23 -------- d-----w- c:\documents and settings\denis\Local Settings\Application Data\Mozilla
2010-01-31 16:01 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-01-31 15:59 . 2010-01-31 17:49 16504 ----a-w- c:\documents and settings\denis\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 10:37 . 2010-01-31 13:32 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-31 17:54 . 2010-01-31 17:04 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-31 16:48 . 2010-01-31 16:48 32 ----a-w- c:\documents and settings\All Users\Application Data\ezsid.dat
2010-01-31 13:33 . 2010-01-31 13:33 -------- d-----w- c:\program files\microsoft frontpage
2010-01-31 13:29 . 2010-01-31 13:29 21640 ----a-w- c:\windows\system32\emptyregdb.dat
2010-01-08 22:42 . 2010-01-08 22:42 3366912 ----a-w- c:\windows\system32\GPhotos.scr
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]
"PAC7302_Monitor"="c:\windows\PixArt\PAC7302\Monitor.exe" [2006-11-03 319488]
"SoundMan"="SOUNDMAN.EXE" [2004-02-27 65024]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-10 335872]
"EC6F16"="c:\windows\system32\81BA7A\EC6F16.EXE" [2010-02-02 1405158]

c:\documents and settings\denis\Start Menu\Programs\Startup\
EC6F16.lnk - c:\windows\system32\81BA7A\EC6F16.EXE [2010-2-2 1405158]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Wireless Configuration Utility HW.32.lnk - c:\windows\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1_BDC88E5AF47B4314AB38994592E32C95.exe [2010-2-2 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [31/01/2010 18:36 135664]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [15/02/2006 18:25 215552]
.
Contents of the 'Scheduled Tasks' folder

2010-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:36]

2010-02-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-31 17:36]
.
.
------- Supplementary Scan -------
.
uInternet Connection Wizard,ShellNext = hxxp://877-77.com/a/a4.htm
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\denis\Application Data\Mozilla\Firefox\Profiles\16zpbszm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-16 23:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(540)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2010-02-16 23:12:50
ComboFix-quarantined-files.txt 2010-02-16 22:12

Pre-Run: 107 468 701 696 bytes free
Post-Run: 108 166 008 832 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 43C980F6DE138B0AFD47A482C9666F9F
0
Réponse 19 / 22
jacques.gache Messages postés 33453 Date d'inscription mardi 13 novembre 2007 Statut Contributeur sécurité Dernière intervention 25 janvier 2016 1 616
17 févr. 2010 à 11:13
bonjour,
comment va le pc
0
Réponse 20 / 22
denis
17 févr. 2010 à 20:20
Salut,

Toujours quelques problèmes :
J'ai toujours des pages internet en chinois qui s'ouvrent tout seul

Quand je lance avast il fait un test de la memoire et me trouve ces 2 virus :
c:\docume~1\denis\locals~1\temp\e_n4\krnln.fnr
Win32:Malware-gen

c:\windows\system32\81ba7a\ec6f16.exe
Win32:Trojan-gen
D'ailleurs je regardais le dossier démarrage dans le menu démarrer et il y a ce EC6F16...bizzare!

Aussi je n'ai plus l'icone d'avast en bas à droite, il est quand même actif en protection résidente?

Je vais faire un scan complet avast pendant la nuit je t'enverrais le rapport. D'ailleurs peut être me conseilles-tu autre antivirus pour la suite

Merci, ciao
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses