Virus trojan-spy

Résolu
dadoun -  
crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
ce matin, j'ai eu un message virus de mon antivirus.
J'ai lancé un scan via antimalwarebites, j'ai nettoyé le disque. Depuis,impossible de me connecter (ou avec beaucoup de mal), impossible de lancer mon antivirus (firewall d'orange).
Merci de m'aider, débutante
Configuration: Windows XP Internet Explorer 7.0

31 réponses

  • 1
  • 2
Résumé de la discussion

Problème rencontré : un avertissement viral apparaît après un nettoyage avec Malwarebytes et empêche toute connexion, Windows XP et Internet Explorer 7 ne répondent plus, et le pare-feu Orange se montre bloquant. Les solutions consistent d'abord à démarrer en mode sans échec et à mettre à jour Malwarebytes' Anti Malware pour lancer un examen complet afin d'éradiquer les menaces. Des outils comme RSIT ou USBFix sont proposés pour obtenir des rapports système détaillés et isoler les éléments potentiellement malveillants, puis procéder à leur mise en quarantaine ou suppression. D'autres éléments apparaissent parfois dans le registre Windows ou au démarrage, nécessitant une révision des services et des autoruns pour restaurer le comportement du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. dadoun
     
    rebonjour,
    complément, j'ai essayer de lancer Hijack, mais impossible, impossible également de télécharger des fichiers ou des logiciels gratuits.
    Merci d'avance pour votre aide
    0
    1. dadoun
       
      personne pour m'aider ???
      0
      1. dadoun > dadoun
         
        voici le rapport Hijackthis, j'ai enfin réussi à lancer un scan :
        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 22:58:09, on 11/02/2010
        Platform: Windows XP SP3 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16915)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
        C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
        C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
        C:\WINDOWS\system32\FsUsbExService.Exe
        C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
        C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
        C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
        C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
        C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
        C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
        C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsus.exe
        C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
        C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
        C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsl.exe
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
        R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
        R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://store.hp.com/us/en?jumpid=re_r11662_redirect_ETR
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
        O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
        O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
        O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
        O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
        O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
        O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
        O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
        O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
        O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
        O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
        O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
        O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
        O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
        O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
        O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
        O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
        O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
        O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
        O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
        O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
        O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
        O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
        O4 - HKLM\..\Run: [Personal Security Center Monitor] C:\WINDOWS\system32\isc_ui.exe
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
        O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
        O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
        O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
        O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
        O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
        O4 - HKCU\..\Run: [F5JMWNZTHI] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsl.exe
        O4 - HKCU\..\Run: [ROUA3O12PW] C:\WINDOWS\msa.exe
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
        O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
        O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
        O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
        O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
        O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
        O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
        O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
        O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{CB0AC728-25F3-49EA-987C-2624A8BFE9CD}: NameServer = 192.168.1.1
        O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
        O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
        O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
        O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
        O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
        O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
        O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
        O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
        O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
        O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
        O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
        O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
        O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
        0
  2. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Salut,
    antimalwarebites

    Serait-il possible d'avoir le rapport stp ?
    (Onglet Rapport).

    ******

    Tu payes l'antivirus F-Secure ?
    0
    1. dadoun
       
      bonjour,
      voici le rapport malwarebytes :
      Malwarebytes' Anti-Malware 1.25
      Version de la base de données: 1089
      Windows 5.1.2600 Service Pack 3

      18:29:34 11/02/2010
      mbam-log-02-11-2010 (18-29-34).txt

      Type de recherche: Examen rapide
      Eléments examinés: 48906
      Temps écoulé: 1 hour(s), 36 minute(s), 27 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\config\45590178.Evt (Rootkit.Agent.H) -> Quarantined and deleted successfully.

      Mon antivirus est firewall d'orange, que je paye...
      0
  3. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Version de la base de données: 1089 

    Tu ne l'as pas mis à jour depuis un bail !!! au moins quelques années !!!

    *********

    Pour ce qui est de F-Secure, il n'est pas top mais bon.

    Mets à jour Malwarebytes' Anti Malware et refais une analyse complète du système.
    0
    1. dadoun
       
      bonsoir,
      j'ai lancé la mise à jour de Malwarebytes' Anti Malware mais apparemment, ça n'a pas fonctionné, j'ai toujours la même version de base de données : 1089, est-normal ?
      Je relance une analyse quand même.
      0
    2. dadoun
       
      de nouveaux messages s'affichent de F secure :
      code dangereux détecté dans le fichier : C:\WINDOWS\system32\PIQQBR.OLL
      infection Trojan.Win32.obfuscated.ev
      et aussi : Packed.Win32.Krap.an
      Trojan-spy.Win32.zbot.aeip

      Voilà
      0
  4. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Chez moi :
    Version de la base de données: 3731

    Vérifie que tu ais ça dans l'onglet "Mise à jour" avant de lancer une longue analyse.

    *****

    Mets en quarantaine et passe à MBAM.
    0
    1. dadoun
       
      version de la base de données : 1089

      Mets en quarantaine et passe à MBAM : comment je fais ça ?? débutante
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Fais ceci :
    Ouvre Malwarebytes' Anti Malware (que j'appelle désormais MBAM pour raison de facilité).
    Onglet "Mise à jour" ==> clique sur "Recherche de mises à jour"

    A cet endroit tu dois trouver ceci :

    Version de la base de données: 3731

    Une fois que c'est bon, tu refais un examen complet de la machine :
    > Onglet Recherche > Coche "Examen complet" et Rechercher.

    Comme tu l'as fait pour le précédent.
    0
    1. dadoun
       
      j'ai relancé une recherche de MAJ
      un message s'affiche à la fin de la recherche : la dernière version de MBAM a été téléchargée. MBAM va maintenant être fermé afin d'installer cette version. OK
      Autre boîte message : MBAM est déjà en cours d'exécution : OK
      Je suis éjectée de MBAM
      Lorsque je relance, dans l'onglet MAJ : version 1089 et dans "site miroir de mise à jour : It.Mate.co.uk" alors qu'avant : Malwarebytes.org ???
      0
    2. dadoun
       
      Je dois m'absenter quelques jour, je reprendrai à mon retour.
      Merci pour ton aide
      A bientôt
      0
      1. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046 > dadoun
         
        Pas de souci, je te propose que tu reviennes ici et je te dirai que faire (réinstall MBAM).
        A plus tard.
        0
      2. dadoun > crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
         
        bonjour,
        voilà, je suis de retour, j'attends vos conseils pour réinstaller MBAM
        0
  7. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Avant de réinstaller : si tu ouvres MBAM, cela fonctionne ?
    0
    1. dadoun
       
      oui, ça marche, version 1089, malgré la MAJ
      0
  8. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Ok.
    Fais la mise à jour manuellement :
    https://www.commentcamarche.net/faq/9016-mettre-a-jour-son-antivirus-anti-malware-sans-connexion-internet#malwarebytes-anti-malware
    0
    1. dadoun
       
      j'ai fais la mise à jour (sans connection internet), depuis, je ne peux plus ouvrir MBAM, message : error code : 730 (0, 0) et mon PC fait un bruit du toner + très lent ??
      0
  9. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Bon alors là essaye la réinstallation de MBAM : désinstaller et réinstaller.
    0
    1. dadoun
       
      dans panneau de config, ajout suppression de programmes, impossible d'ouvrir : message :
      C:\WINDOWS\system32\rundll32.exe
      application introuvable
      comment faire ?
      0
  10. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Vérifie manuellement la présence ou l'absence de ce fichier :
    C:\WINDOWS\system32\rundll32.exe

    S'il est absent, il te le faut absolument.
    As-tu le CD système ?
    0
    1. dadoun
       
      j'ai vérifié, il y est, mais impossible de l'ouvrir. Dans poste de travail, C, Windows, il y a plein de fichiers avec le symbole $ qui n'étaient pas là avant ?? je ne sais pas s'il y a un rapport entre tout ça ?
      Sinon, je n'ai pas le CD système
      0
  11. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:22:26, on 20/02/2010
    Platform: Unknown Windows (WinNT 6.01.3504)
    MSIE: Internet Explorer v8.00 (8.00.7600.16385)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\VMware\VMware Tools\VMwareTray.exe
    C:\Program Files\VMware\VMware Tools\VMwareUser.exe
    C:\Windows\system32\taskhost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Windows\system32\SearchFilterHost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O4 - HKLM\..\Run: [VMware Tools] "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
    O4 - HKLM\..\Run: [VMware User Process] "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
    O13 - Gopher Prefix:
    O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint AG - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
    O23 - Service: TP VC Gateway Service (TPVCGateway) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPVCGateway.exe
    O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
    O23 - Service: VMware Upgrade Helper (VMUpgradeHelper) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
    End of file - 2978 bytes
    0
    1. dadoun
       
      je dois faire quoi ??
      0
  12. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Erreur dans le copier-coller...
    Désolé.

    *****

    Pour établir un diagnostic plus en profondeur de ton PC :
    Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
    = = = = >>> En cliquant ici <<< = = = =

    * Double clique sur RSIT.exe pour le lancer.
    * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
    * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
    * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
    * Poste le contenu de log.txt.
    0
    1. dadoun
       
      1er rapport : log bloc notes

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Compaq_Propriétaire at 2010-02-20 22:52:08
      Microsoft Windows XP Édition familiale Service Pack 3
      System drive C: has 50 GB (34%) free of 146 GB
      Total RAM: 446 MB (22% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:58:09, on 11/02/2010
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16915)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
      C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
      C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
      C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsus.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
      C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsl.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/
      R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://store.hp.com/us/en?jumpid=re_r11662_redirect_ETR
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll
      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
      O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
      O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
      O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
      O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
      O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
      O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
      O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
      O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
      O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
      O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE" /splash
      O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\Av_Fw\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
      O4 - HKLM\..\Run: [News Service] "C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe"
      O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [Personal Security Center Monitor] C:\WINDOWS\system32\isc_ui.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [Shareaza] "C:\Program Files\Shareaza\Shareaza.exe" -tray
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKCU\..\Run: [Orange Desktop Search] "C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe" /tray
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
      O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
      O4 - HKCU\..\Run: [F5JMWNZTHI] C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsl.exe
      O4 - HKCU\..\Run: [ROUA3O12PW] C:\WINDOWS\msa.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
      O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
      O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
      O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
      O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{CB0AC728-25F3-49EA-987C-2624A8BFE9CD}: NameServer = 192.168.1.1
      O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
      O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
      O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
      O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
      O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
      O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
      O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
      O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
      0
  13. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Alors, quelques infections bien présentes :
    Vu que MBAM a quelques soucis :
    Supprime manuellement ces fichiers :

    C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    C:\WINDOWS\tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    C:\WINDOWS\system32\sshnas21.dll

    C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\av.exe
    C:\WINDOWS\msa.exe

    Les deux derniers devraient être absents mais vérifie.

    ********

    Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …)

    Télécharge et installe UsbFix de C_XX & El desaparecido :
    = = = = >>> En cliquant ici <<< = = = =

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

    * Double clique sur le raccourci UsbFix présent sur ton bureau.
    * Choisis l’option 1 (Recherche)
    * Laisse travailler l’outil.
    * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.

    Notes :
    - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
    - "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.
    0
    1. dadoun
       
      j'ai supprimé les 3 fichiers, les 2 suivants ne sont pas là, j'ai un C:\Documents and Settings\Compaq_propriétaire\Local Settings\Application Data\av.oxe ; je n'y ai pas touché.
      J'ai téléchargé UsbFix, mais impossible de l'ouvrir...
      Les seules sources sont une carte mémoire d'appareil photo ???
      J'arrête pour ce soir
      Merci
      0
  14. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    C:\Documents and Settings\Compaq_propriétaire\Local Settings\Application Data\av.oxe
    Supprime le.

    ******

    A demain alors, bonne nuit.
    (Je serai là en fin de journée - début de soirée).
    Tu m'en diras plus sur 'Impossible d'ouvrir USBFix'.
    0
    1. dadoun
       
      bonsoir,
      impossible de supprimer le fichier C:\Documents and Settings\Compaq_propriétaire\Local Settings\Application Data\av.oxe
      message de F Secure :
      code dangereux détecté dans le fichier C:\Documents and Settings\Compaq_propriétaire\Local Settings\Application Data\av.oxe
      Infection : Trojan Spy.Win32.Zbot.aeip
      action échec
      je vais rééssayer quand même...
      0
  15. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    F-secure ne peut pas le supprimer ?
    Essaye en mode sans échec.
    0
    1. dadoun
       
      voilà, je l'ai supprimé en mode sans échec.
      J'ai essayé de relancer UsbFix avant de me reconnecter, et là, la fenêtre "ouvrir avec" s'ouvre et impossible de lancer.
      Un autre message de F Secure :
      Code dangereux détecté dans le fichier :
      C:\Document and Settings\Compaq_propriétaire\Local settings\Temp\Vsl.exe
      Infection : Packed.Win32.Krp.an
      Que dois-je faire ?
      0
  16. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Mets en quarantaine.
    USBFix s'appelle bien USBFix.exe ?
    0
    1. dadoun
       
      j'ai vérifié, déjà en quarantaine ??
      clic droit propriété, UsbFix mais pas .exe ???
      0
  17. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Rebomme le en Usbfix.exe
    0
    1. dadoun
       
      ok renommé mais toujours impossible de l'ouvrir, une fenêtre s'ouvre : "ouvrir avec", choisissez le programme à utiliser pour ouvrir ce fichier : Go.exe, je sélectionne UsbFix, OK le PC "mouline" et m'ouvre à nouveau le même fenêtre ??
      0
    2. dadoun
       
      malgré la mise en quarantaine, le mesage s'affiche toujours (code dangereux.... concernant Packed.Win32.Krap.an ?? normal ??
      0
  18. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    On va faire autrement :

    Télécharge Malwarebytes’ Anti-Malware
    = = = = >>> En cliquant ici <<< = = = =

    - Enregistre le sur le bureau
    - Double-clique sur le fichier téléchargé pour lancer le processus d’installation
    - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
    - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
    - Une fois la mise à jour terminée, ferme Malwarebytes
    - Double-clique sur l’icône de malwarebytes pour le relancer
    - Dans l’onglet, Recherche, probablement ouvert par défaut,
    - Sélectionne Exécuter un examen complet
    - Clique sur Rechercher
    - Le scan démarre
    - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
    - Clique sur Ok pour poursuivre.
    - Si des malwares ont été détectés, cliques sur Afficher les résultats
    - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
    - Rends toi dans l’onglet rapport/log
    - Tu clique dessus pour l’afficher une fois affiché
    - Tu clique sur édition en haut du bloc notes, et puis sur sélectionner tout
    - Tu reclique sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
    - Tu clique droit dans le cadre de la réponse et coller

    Si tu as besoin d’aide regarde ce tutorial ICI
    0
  19. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Sur quel fichier survient cette alerte ?
    0
    1. dadoun
       
      désolée pour tout ce temps mais l'analyse a été longue voici le rapport
      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3510
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      22/02/2010 00:29:16
      mbam-log-2010-02-22 (00-29-16).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 201638
      Temps écoulé: 2 hour(s), 0 minute(s), 46 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 12
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 8

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc7owj0ej6c (Rogue.AntiVirusXP) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Broken.SecurityProviders) -> Bad: (msapsspc.dll schannel.dll digest.dll msnsspc.dll) Good: (msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\.tt1.tmp.0bs (MaliciousScript) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\.tt2.tmp.0bs (MaliciousScript) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\.tt2BD.tmp.0bs (MaliciousScript) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\.tt3.tmp.0bs (MaliciousScript) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\load.0xe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\wJQs.0xe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\60325cahp25ca0.exe (Trojan.Agent) -> Quarantined and deleted successfully.


      a demain
      0
  20. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    MBAM n'étais pas à jour.
    Recommence l'analyse stp (scan complet).
    0
    1. dadoun
       
      version MBAM : 3510 (après maj)
      voici le nouveau rapport du scan complet :

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3510
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      22/02/2010 16:49:32
      mbam-log-2010-02-22 (16-49-32).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 201962
      Temps écoulé: 1 hour(s), 43 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
    2. dadoun
       
      ok version 3740, je relance un scan complet et poste plus tard le rapport
      0
    3. dadoun
       
      nouveau rapport :
      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3740
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      22/02/2010 20:17:04
      mbam-log-2010-02-22 (20-17-04).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 208075
      Temps écoulé: 1 hour(s), 52 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 3
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\F5JMWNZTHI (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\secfile (Trojan.Fakealert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f5jmwnzthi (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\roua3o12pw (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CLASSES_ROOT\.exe\(default) (Hijacked.exeFile) -> Bad: (secfile) Good: (exefile) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)


      Apparemment, tout a l'air de refonctionner normalement !!??
      0
    4. dadoun
       
      magique !!!
      voici le rapport UsbFix :

      ############################## | UsbFix V6.097 |

      User : Compaq_Propriétaire (Administrateurs) # NOM-EB85C523610
      Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 20:48:34 | 22/02/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      AMD Athlon(tm) 64 Processor 3200+
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 7.0.5730.11
      Windows Firewall Status : Disabled
      AV : AntiVirus Firewall 7.03 7.03 [ Enabled | Updated ]
      FW : AntiVirus Firewall 7.03[ Enabled ]7.03

      C:\ -> Disque fixe local # 143,04 Go (48,52 Go free) [PRESARIO] # NTFS
      D:\ -> Disque fixe local # 5,99 Go (2,5 Go free) [PRESARIO_RP] # FAT32
      E:\ -> Disque CD-ROM
      F:\ -> Disque amovible # 483,56 Mo (418,92 Mo free) # FAT
      G:\ -> Disque amovible
      H:\ -> Disque amovible
      I:\ -> Disque amovible

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\ps2.exe
      C:\Program Files\Securitoo\Av_Fw\Common\FSM32.EXE
      C:\Program Files\Securitoo\Av_Fw\FSGUI\ispnews.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Shareaza\Shareaza.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Orange HSS\Orange Desktop Search\OrangeDesktopSearch.exe
      C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
      C:\WINDOWS\system32\svchost.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsgk32st.exe
      C:\Program Files\Securitoo\Av_Fw\Common\FSMA32.EXE
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\FSGK32.EXE
      C:\WINDOWS\system32\FsUsbExService.Exe
      C:\Program Files\Securitoo\Av_Fw\Common\FSMB32.EXE
      C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\Program Files\Securitoo\Av_Fw\Common\FCH32.EXE
      C:\Program Files\Securitoo\Av_Fw\Common\FAMEH32.EXE
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsqh.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fssm32.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsaua.exe
      C:\Program Files\Securitoo\Av_Fw\FWES\Program\fsdfwd.exe
      C:\Program Files\Securitoo\Av_Fw\FSGUI\fsguidll.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Securitoo\Av_Fw\FSAUA\program\fsus.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Wanadoo\GestionnaireInternet.exe
      C:\Program Files\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\Program Files\Wanadoo\Watch.exe
      C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
      C:\Program Files\Securitoo\Av_Fw\Anti-Virus\fsav32.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Elements infectieux |

      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\a.dat
      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\b.dat
      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsj.exe
      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsk.exe
      C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Vsl.exe
      D:\autorun.inf

      ################## | Registre |

      [HKLM\SYSTEM\ControlSet004\Services\SSHNAS]

      ################## | Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\D
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

      HKCU\..\..\Explorer\MountPoints2\{23457526-8b7b-11da-93bf-0013d35a5f9e}
      Shell\AutoRun\command =J:\ReadMe.exe

      ################## | Vaccin |


      ################## | ! Fin du rapport # UsbFix V6.097 ! |
      0
  21. crapoulou Messages postés 28002 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   8 046
     
    Arf, toujours pas à jour.

    Fais les mises à jour comme ça :
    https://www.commentcamarche.net/faq/9016-mettre-a-jour-son-antivirus-anti-malware-sans-connexion-internet#malwarebytes-anti-malware

    Quelle versios as-tu a^rès cette manip' ?
    0
  • 1
  • 2