Infection PC et périphériques Win 32-gen

Matthieu - 13 févr. 2010 à 12:44
 Utilisateur anonyme - 13 févr. 2010 à 16:14
Bonjour à tous,

Mon disque dur externe est infecté par un Win32-gen et j'ai infecté le PC d'une amie. J'ai fait une recherche sur les forums et téléchargé HijackThis. Le problème est donc l'analyse des rapports finaux.
Pourriez-vous dans un premier temps me donner l'analyse du rapport concernant le PC de mon amie et dans un deuxième temps m'expliquer les démarches pour supprimer le virus sur mon DDE.

Voici le rapport de HijackThis sur le PC:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:44:02, on 13/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\CA8263\7C949F.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\DeezRip\DeezRipSvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.centre-valdeloire.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TDispVol] TDispVol.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Camera Assistant Software] "C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe"
O4 - HKLM\..\Run: [Startup] C:\windows\startup.vbs
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [7C949F] C:\WINDOWS\system32\CA8263\7C949F.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA8.tmp" /EF "HKCU"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 7C949F.lnk = C:\WINDOWS\system32\CA8263\7C949F.EXE
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Global Startup: DeezRip.lnk = C:\Program Files\DeezRip\DeezRip.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DeezRip service (DeezRipSvc) - Unknown owner - C:\Program Files\DeezRip\DeezRipSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
A voir également:

2 réponses

Réponse 1 / 2
Utilisateur anonyme
13 févr. 2010 à 12:45
• Télécharge et install: UsbFix.exe par El Desaparecido
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

===========================================================
Infection par support amovible.Tu peux faire la meme procédure sur ton pc perso ;)
0
Matthieu
13 févr. 2010 à 13:28
Merci pour cette réponse rapide.

Voilà le rapport USBFix


############################## | UsbFix V6.093 |

User : Utilisateur (Administrateurs) # CRC_87217199K
Update on 10/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:26:03 | 13/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2080 @ 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Norton Internet Security 2007 [ Enabled | Updated ]
AV : avast! antivirus 4.8.1351 [VPS 091118-0] 4.8.1351 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ (!) Disabled ]2007

C:\ -> Disque fixe local # 32,01 Go (7,1 Go free) [WinXP] # NTFS
D:\ -> Disque fixe local # 101,73 Mo (99,32 Mo free) [BOOT] # FAT
E:\ -> Disque fixe local # 31,98 Go (5,54 Go free) [DONNEES] # FAT32
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\CA8263\7C949F.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\DeezRip\DeezRipSvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
E:\Mes documents\Téléchargements\spybotsd162.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\is-0CC90.tmp\spybotsd162.tmp
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\Documents and Settings\Utilisateur\RavMonLog
C:\WINDOWS\startup.vbs
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\cnvpe.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\dp1.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\eAPI.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\HtmlView.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\internet.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\krnln.fnr
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\shell.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\spec.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4
C:\msn.exe

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "startup"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{03606aa7-f760-11dc-b558-001b38147a7f}
Shell\AutoRun\command =EXPLORER.EXE
Shell\explore\Command =EXPLORER.EXE
Shell\open\Command =EXPLORER.EXE

HKCU\..\..\Explorer\MountPoints2\{0643f2e6-83ee-11dc-b495-001b38147a7f}
Shell\Auto\command =G:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{0917c068-0c7f-11de-b703-001b38147a7f}
Shell\AutoRun\command =G:\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{22f71ef9-2344-11de-b72c-001b38147a7f}
Shell\AutoRun\command =G:\mt2.exe
Shell\open\Command =G:\mt2.exe

HKCU\..\..\Explorer\MountPoints2\{310df39f-92d9-11de-b7fd-001b38147a7f}
Shell\AutoRun\command =G:\Autorun.exe /run
Shell\Shell00\Command =G:\Autorun.exe /run
Shell\Shell01\Command =G:\Autorun.exe /action
Shell\Shell02\Command =G:\Autorun.exe /uninstall

HKCU\..\..\Explorer\MountPoints2\{31fad18f-3f8b-11de-b760-001b38147a7f}
Shell\AutoRun\command =w.com
Shell\open\Command =w.com

HKCU\..\..\Explorer\MountPoints2\{65d95587-241e-11dd-b595-001b38147a7f}
Shell\AutoRun\command =tmf3w3g0.com
Shell\explore\Command =tmf3w3g0.com
Shell\open\Command =tmf3w3g0.com

HKCU\..\..\Explorer\MountPoints2\{8f9ae348-1096-11de-b70b-001b38147a7f}
Shell\1\Command =Recycle.exe
Shell\2\Command =Recycle.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe

HKCU\..\..\Explorer\MountPoints2\{9396e95b-8251-11dc-b48f-001b38147a7f}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{a19644d2-03c3-11dd-b570-001b38147a7f}
Shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{ad7bf83a-0c39-11df-b8b1-001b38147a7f}
Shell\1\Command =G:\Recycle.exe
Shell\2\Command =G:\Recycle.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe

HKCU\..\..\Explorer\MountPoints2\{ca4b65f8-82f3-11dc-b491-001b38147a7f}
Shell\Auto\command =G:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{d44ed540-7206-11de-b7bd-001b38147a7f}
Shell\AutoRun\command =aphqg.exe
Shell\open\Command =aphqg.exe

HKCU\..\..\Explorer\MountPoints2\{dc3e3cde-3dfa-11de-b75d-001b38147a7f}
Shell\AutoRun\command =G:\Launch.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.093 ! |
0
Matthieu > Matthieu
13 févr. 2010 à 14:14
Désolé je viens de me rendre compte que le DDE n'était pas sous tension au moment du scan UsbFix.
Voici le log avec le DDE.


############################## | UsbFix V6.093 |

User : Utilisateur (Administrateurs) # CRC_87217199K
Update on 10/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:26:03 | 13/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Genuine Intel(R) CPU T2080 @ 1.73GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Norton Internet Security 2007 [ Enabled | Updated ]
AV : avast! antivirus 4.8.1351 [VPS 091118-0] 4.8.1351 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ (!) Disabled ]2007

C:\ -> Disque fixe local # 32,01 Go (7,1 Go free) [WinXP] # NTFS
D:\ -> Disque fixe local # 101,73 Mo (99,32 Mo free) [BOOT] # FAT
E:\ -> Disque fixe local # 31,98 Go (5,54 Go free) [DONNEES] # FAT32
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\CA8263\7C949F.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Camera Assistant Software for Toshiba\CEC_MAIN.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Utilisateur\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\DeezRip\DeezRipSvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
E:\Mes documents\Téléchargements\spybotsd162.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\is-0CC90.tmp\spybotsd162.tmp
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\Documents and Settings\Utilisateur\RavMonLog
C:\WINDOWS\startup.vbs
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\cnvpe.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\dp1.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\eAPI.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\HtmlView.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\internet.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\krnln.fnr
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\shell.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4\spec.fne
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\E_N4
C:\msn.exe

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "startup"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{03606aa7-f760-11dc-b558-001b38147a7f}
Shell\AutoRun\command =EXPLORER.EXE
Shell\explore\Command =EXPLORER.EXE
Shell\open\Command =EXPLORER.EXE

HKCU\..\..\Explorer\MountPoints2\{0643f2e6-83ee-11dc-b495-001b38147a7f}
Shell\Auto\command =G:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{0917c068-0c7f-11de-b703-001b38147a7f}
Shell\AutoRun\command =G:\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{22f71ef9-2344-11de-b72c-001b38147a7f}
Shell\AutoRun\command =G:\mt2.exe
Shell\open\Command =G:\mt2.exe

HKCU\..\..\Explorer\MountPoints2\{310df39f-92d9-11de-b7fd-001b38147a7f}
Shell\AutoRun\command =G:\Autorun.exe /run
Shell\Shell00\Command =G:\Autorun.exe /run
Shell\Shell01\Command =G:\Autorun.exe /action
Shell\Shell02\Command =G:\Autorun.exe /uninstall

HKCU\..\..\Explorer\MountPoints2\{31fad18f-3f8b-11de-b760-001b38147a7f}
Shell\AutoRun\command =w.com
Shell\open\Command =w.com

HKCU\..\..\Explorer\MountPoints2\{65d95587-241e-11dd-b595-001b38147a7f}
Shell\AutoRun\command =tmf3w3g0.com
Shell\explore\Command =tmf3w3g0.com
Shell\open\Command =tmf3w3g0.com

HKCU\..\..\Explorer\MountPoints2\{8f9ae348-1096-11de-b70b-001b38147a7f}
Shell\1\Command =Recycle.exe
Shell\2\Command =Recycle.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe

HKCU\..\..\Explorer\MountPoints2\{9396e95b-8251-11dc-b48f-001b38147a7f}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{a19644d2-03c3-11dd-b570-001b38147a7f}
Shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{ad7bf83a-0c39-11df-b8b1-001b38147a7f}
Shell\1\Command =G:\Recycle.exe
Shell\2\Command =G:\Recycle.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe

HKCU\..\..\Explorer\MountPoints2\{ca4b65f8-82f3-11dc-b491-001b38147a7f}
Shell\Auto\command =G:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{d44ed540-7206-11de-b7bd-001b38147a7f}
Shell\AutoRun\command =aphqg.exe
Shell\open\Command =aphqg.exe

HKCU\..\..\Explorer\MountPoints2\{dc3e3cde-3dfa-11de-b75d-001b38147a7f}
Shell\AutoRun\command =G:\Launch.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.093 ! |
0
Réponse 2 / 2
Utilisateur anonyme
13 févr. 2010 à 16:14
Super infecté

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

==================================================================
On va faire un autre diagnostic plus approfondie de ta machine.


• Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ).
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0

Discussions similaires

Voxbone ? qui est-ce ?
fanfan54 -
djakool4 -

158 réponses