Virus qui créer des dossier dans Temp Fermé

Question

Bonjour,

Je dois avoir un virus qui créer des dossiers dans le répertoire Temp de Windows.
Dans ces dossier ce trouve svchost.exe que Avast détect comme trojan et qui les supprime.
Je n'arrive pas a détecter le processus qui créer ces dossiers.

Merci d'avance pour votre aide.

Voici un rapport hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:22, on 13/02/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\sdra64.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\iona\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\sdra64.exe,
O1 - Hosts: 109.95.114.5 androzo.ru
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\iona\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [userinit] C:\Users\iona\AppData\Roaming\sdra64.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

dédétraqué · Answer

Salut linocanmiki


-Télécharge et installe MalwareByte's Anti-Malware
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

- Mets le à jour

---

- Redémarre en mode sans échec :

Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

---

- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur OK

- Si MalwareByte's n'a rien détecté, clique sur OK  Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

Tutoriel pour MalwareByte's ici : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


@++   :)

linocanmiki · Answer

Je te remercie de te pencher sur mon problème.

Malwarebytes n'a trouvé aucune infection (j' avais déja fait un scan en mode normal avant et il y avait 2 infections autre que celle la).

Voici le log :

 Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3733
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

14/02/2010 01:25:27
mbam-log-2010-02-14 (01-25-27).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 197023
Temps écoulé: 20 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Je ne pense pas qu'il est utile ducou :)

Merci

dédétraqué · Answer

Salut linocanmiki


Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
(Sous Vista/7, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n’est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l’analyse

Les rapports sont dans le dossier ici C:\rsit


@++ :)

linocanmiki · Answer

RSIT met une erreur : ligne -1 , variable non déclarée ( en anglais)

mais il y a eu un log quand mm : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by iona at 2010-02-14 12:24:46
Microsoft Windows 7 Professionnel  
System drive C: has 3 GB (10%) free of 26 GB
Total RAM: 2047 MB (66% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:24:50, on 14/02/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\iona\Desktop\RSIT.exe
C:\Windows\system32\DllHost.exe
C:\Users\iona\Desktop\iona.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: 109.95.114.5 androzo.ru
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Users\iona\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

linocanmiki · Answer

finalement ca marche en mode compatibilité pour windows xp sp3.

Voici les fichiers ; 

Le log : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by iona at 2010-02-14 12:33:38
Microsoft Windows 7 Professionnel  Service Pack 3
System drive C: has 3 GB (10%) free of 26 GB
Total RAM: 2047 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:42, on 14/02/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\iona\Desktop\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\iona\Desktop\iona.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: 109.95.114.5 androzo.ru
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Google Update] "C:\Users\iona\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O13 - Gopher Prefix: 
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

dédétraqué · Answer

Salut linocanmiki


Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

 :reg 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\oxzjstee]     

:files 
C:\Program Files\Live-Player
C:\Users\iona\AppData\Roaming\lowsec

:commands 
[purity] 
[emptytemp] 
[reboot]

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


@++   :)

linocanmiki · Answer

merci 

voici le log :

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\oxzjstee\ deleted successfully.
========== FILES ==========
C:\Program Files\Live-Player\skins folder moved successfully.
C:\Program Files\Live-Player\img folder moved successfully.
C:\Program Files\Live-Player\data folder moved successfully.
C:\Program Files\Live-Player folder moved successfully.
C:\Users\iona\AppData\Roaming\lowsec folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: iona
->Temp folder emptied: 54879865 bytes
->Temporary Internet Files folder emptied: 97927490 bytes
->Java cache emptied: 50922277 bytes
->FireFox cache emptied: 107060015 bytes
->Google Chrome cache emptied: 8546749 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1464 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 305,00 mb
 
 
OTM by OldTimer - Version 3.1.8.0 log created on 02142010_234250

dédétraqué · Answer

Salut linocanmiki 


On va vérifier si rien de caché :

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

linocanmiki · Answer

Merci pour le temps que vous m'accorder.

Voici le Log de nod32 :

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=ba513b1c3049514590e5763d11fd1562
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2010-02-15 02:31:09
# local_time=2010-02-15 03:31:09 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=768 16777215 100 0 18180866 18180866 0 0
# compatibility_mode=1797 16775165 100 94 12838 62260194 5630 0
# compatibility_mode=5893 16776573 100 94 120559 18635506 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=88350
# found=0
# cleaned=0
# scan_time=4784

dédétraqué · Answer

Salut linocanmiki 


Ton rapport est propre, je te conseil très vivement de désinstaller Avast! pour Antivir, voir ce lien : 
http://forum.malekal.com/ftopic3528.php


Téléchargement Antivir de Avira en français ici :

http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe

Aide : http://www.libellules.ch/tuto_antivir.php

Suivre le tutoriel, faire un scan complet en mode sans échec et sauvegarde le rapport.
Redémarre en mode normal et poste le rapport.

Si tu rencontres un problème pour la désinstallation d'Avast, utilise son utilitaire de désinstallation :
https://www.avast.com/fr-fr/uninstall-utility


@++  :)

linocanmiki · Answer

Bonjour,

J'avais deja désinstallé avast pr antivir (après avoir posté le log hijackthis). 

J'ai ensuite effectué un scan complet. Cependant je ne pourrais vous poster le log que en fin de semaine car il sagit de l'ordinateur de ma copine et elle revient que jeudi ou vendredi.

Merci pour votre aide

dédétraqué · Answer

Salut linocanmiki


OK pas de souci


@++  :)

linocanmiki · Answer

Bonjour,

J'ai denouveau la main sur la machine concernée.

Je vous envois donc le rapport du scan avec Antivir effectué précédemment.




Avira AntiVir Personal
Date de création du fichier de rapport : samedi 13 février 2010  22:47

La recherche porte sur 1751559 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista
Version de Windows      : (plain)  [6.1.7600]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : IONA-PC

Informations de version :
BUILD.DAT               : 9.0.0.74      21698 Bytes  04/12/2009 13:56:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  13/10/2009 10:25:46
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 06:35:52
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 21:46:05
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 21:46:29
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 21:46:37
VBASE004.VDF            : 7.10.3.76      2048 Bytes  26/01/2010 21:46:37
VBASE005.VDF            : 7.10.3.77      2048 Bytes  26/01/2010 21:46:37
VBASE006.VDF            : 7.10.3.78      2048 Bytes  26/01/2010 21:46:38
VBASE007.VDF            : 7.10.3.79      2048 Bytes  26/01/2010 21:46:38
VBASE008.VDF            : 7.10.3.80      2048 Bytes  26/01/2010 21:46:38
VBASE009.VDF            : 7.10.3.81      2048 Bytes  26/01/2010 21:46:38
VBASE010.VDF            : 7.10.3.82      2048 Bytes  26/01/2010 21:46:38
VBASE011.VDF            : 7.10.3.83      2048 Bytes  26/01/2010 21:46:38
VBASE012.VDF            : 7.10.3.84      2048 Bytes  26/01/2010 21:46:38
VBASE013.VDF            : 7.10.3.85      2048 Bytes  26/01/2010 21:46:38
VBASE014.VDF            : 7.10.3.122    172544 Bytes  29/01/2010 21:46:40
VBASE015.VDF            : 7.10.3.149     79872 Bytes  01/02/2010 21:46:40
VBASE016.VDF            : 7.10.3.174     68608 Bytes  03/02/2010 21:46:41
VBASE017.VDF            : 7.10.3.199     76800 Bytes  04/02/2010 21:46:42
VBASE018.VDF            : 7.10.3.222     64512 Bytes  05/02/2010 21:46:42
VBASE019.VDF            : 7.10.3.243     75776 Bytes  08/02/2010 21:46:43
VBASE020.VDF            : 7.10.4.6      81920 Bytes  09/02/2010 21:46:44
VBASE021.VDF            : 7.10.4.30     78848 Bytes  11/02/2010 21:46:44
VBASE022.VDF            : 7.10.4.31      2048 Bytes  11/02/2010 21:46:44
VBASE023.VDF            : 7.10.4.32      2048 Bytes  11/02/2010 21:46:45
VBASE024.VDF            : 7.10.4.33      2048 Bytes  11/02/2010 21:46:45
VBASE025.VDF            : 7.10.4.34      2048 Bytes  11/02/2010 21:46:45
VBASE026.VDF            : 7.10.4.35      2048 Bytes  11/02/2010 21:46:45
VBASE027.VDF            : 7.10.4.36      2048 Bytes  11/02/2010 21:46:45
VBASE028.VDF            : 7.10.4.37      2048 Bytes  11/02/2010 21:46:45
VBASE029.VDF            : 7.10.4.38      2048 Bytes  11/02/2010 21:46:45
VBASE030.VDF            : 7.10.4.39      2048 Bytes  11/02/2010 21:46:45
VBASE031.VDF            : 7.10.4.45     70656 Bytes  12/02/2010 21:46:46
Version du moteur       : 8.2.1.170
AEVDF.DLL               : 8.1.1.3      106868 Bytes  13/02/2010 21:47:04
AESCRIPT.DLL            : 8.1.3.15     827771 Bytes  13/02/2010 21:47:04
AESCN.DLL               : 8.1.4.0      127348 Bytes  13/02/2010 21:47:02
AESBX.DLL               : 8.1.1.1      246132 Bytes  08/11/2009 06:38:44
AERDL.DLL               : 8.1.4.2      479602 Bytes  13/02/2010 21:47:01
AEPACK.DLL              : 8.2.0.8      426357 Bytes  13/02/2010 21:46:59
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  08/11/2009 06:38:38
AEHEUR.DLL              : 8.1.1.5     2326901 Bytes  13/02/2010 21:46:57
AEHELP.DLL              : 8.1.10.0     237942 Bytes  13/02/2010 21:46:49
AEGEN.DLL               : 8.1.1.86     369012 Bytes  13/02/2010 21:46:48
AEEMU.DLL               : 8.1.1.0      393587 Bytes  08/11/2009 06:38:26
AECORE.DLL              : 8.1.11.1     184694 Bytes  13/02/2010 21:46:47
AEBB.DLL                : 8.1.0.3       53618 Bytes  08/11/2009 06:38:20
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  26/08/2009 14:13:31
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  17/06/2009 12:44:26
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  02/11/2009 15:58:32

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 13 février 2010  22:47

La recherche d'objets cachés commence.
'22515' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'StkCSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASLDRSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '28' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\Live-Player\uninst.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Wintrim.BX.45
C:\Users\iona\AppData\Local\Temp
ps581A.tmp
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.GI
Recherche débutant dans 'D:\'
D:\iona\Kilian\Applications\Vertrix2-Install.exe
  [0] Type d'archive: ACE SFX (self extracting)
    --> Description.txt
      [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    --> Manual.chm
      [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    --> Vertrix2.exe
      [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    --> Vertrix2.vf
      [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !
    [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé !

Début de la désinfection :
C:\Program Files\Live-Player\uninst.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Wintrim.BX.45
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4be03536.qua' !
C:\Users\iona\AppData\Local\Temp
ps581A.tmp
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Pidief.GI
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bea3538.qua' !


Fin de la recherche : dimanche 14 février 2010  00:24
Temps nécessaire:  1:36:31 Heure(s)

La recherche a été effectuée intégralement

  14334 Les répertoires ont été contrôlés
 305167 Des fichiers ont été contrôlés
      2 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 305163 Fichiers non infectés
   1948 Les archives ont été contrôlées
      7 Avertissements
      4 Consignes
  22515 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

dédétraqué · Answer

Salut linocanmiki 


On va vérifier si rien de caché :

Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

linocanmiki · Answer

Bonjour,

Vous m'avez déja demandé de faire un scan avec nod32 et je vous ai déja renvoyé le rapport et il n'y avait rien.

En fait le problème principale est le fait qu'il y ai un processus qui crée des répertoire avec des noms aléatoires dans le dossier temp de windows. Dans chacun de ces dossier se trouve un fichier svchost.exe.

Que se soit avec avast ou antivir, régulièrement il détecte les fichier svchost.exe et les défini comme cheval de troie. (avec des noms différents). 

J'aimerais éviter le formatage du dd si possible :)

Merci de votre aide.

dédétraqué · Answer

Salut linocanmiki


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

linocanmiki · Answer

Bonjour,

Le système commence a devenir instable. Peut être que ce n'est pas lié mais j'ai déja fait une restauration du système il y a une semaine.

Sinon voici le résultat du scan :

PS : 1- A la fin du scan de Combofix un message est apparu demandant s'il fallait restaurer un fichier qui avait été supprimé. Le nom ressemblait a celui d'un fichier concernant le disque dur, je l'ai restauré.
2- Le probleme persiste....

Le log :

ComboFix 10-02-19.03 - iona 19/02/2010 23:37:56.1.2 - x86
Microsoft Windows 7 Professionnel 6.1.7600.0.1252.33.1036.18.2047.1353 [GMT 1:00]
Lancé depuis: c:\users\iona\Desktop\ComboFix.exe
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\windows\system32\APSHook.dll

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\iona\AppData\Roaming\sdra64.exe
c:\windows\system32\drivers\vytalpek.sys
c:\windows\system32\rwrhyqe.dll
c:\windows\system32\zzop93.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_cyehnadp

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-19 au 2010-02-19 ))))))))))))))))))))))))))))))))))))
.

2010-02-19 22:46 . 2010-02-19 22:46 -------- d-----w- C:\Device
2010-02-19 22:45 . 2010-02-19 22:47 -------- d-----w- c:\users\iona\AppData\Local\temp
2010-02-19 22:45 . 2010-02-19 22:45 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-19 22:16 . 2010-02-19 22:16 -------- d-----w- c:\users\iona\AppData\Local\ElevatedDiagnostics
2010-02-19 00:20 . 2010-02-19 00:20 42531 ----a-w- c:\windows\system32\config\systemprofile\SyncMan.exe
2010-02-15 01:07 . 2010-02-15 01:07 -------- d-----w- c:\program files\ESET
2010-02-14 22:42 . 2010-02-14 22:42 -------- d-----w- C:\_OTM
2010-02-14 11:21 . 2010-02-14 11:33 -------- d-----w- C:\rsit
2010-02-13 21:44 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-02-13 21:44 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-02-13 21:44 . 2010-02-13 21:44 -------- d-----w- c:\programdata\Avira
2010-02-13 21:44 . 2010-02-13 21:44 -------- d-----w- c:\program files\Avira
2010-02-13 18:54 . 2010-02-13 18:54 -------- d-----w- c:\users\iona\AppData\Roaming\Malwarebytes
2010-02-13 18:54 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-13 18:54 . 2010-02-13 18:54 -------- d-----w- c:\programdata\Malwarebytes
2010-02-13 18:54 . 2010-02-13 18:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-13 18:54 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-13 18:42 . 2010-02-13 18:43 -------- d-----w- c:\users\iona\AppData\Roaming\QuickScan
2010-02-13 18:42 . 2010-01-11 16:32 698184 ----a-w- c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
2010-02-13 18:42 . 2010-01-11 16:33 789320 ----a-w- c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-02-13 16:47 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-02-13 16:47 . 2010-02-13 16:47 -------- d-----w- c:\program files\Panda Security
2010-02-13 16:44 . 2010-02-13 18:39 -------- d-----w- c:\windows\BDOSCAN8
2010-02-05 09:39 . 2010-02-05 09:39 251376 ----a-w- c:\users\iona\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
2010-02-03 20:32 . 2010-02-03 20:32 -------- d-----w- c:\program files\Vertrix 2
2010-01-27 11:22 . 2009-10-31 05:45 2614272 ----a-w- c:\windows\explorer.exe
2010-01-27 11:22 . 2009-10-28 06:17 285696 ----a-w- c:\windows\system32\winlogon.exe
2010-01-24 00:27 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-19 22:31 . 2009-07-14 08:39 695004 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-19 22:31 . 2009-07-14 08:39 127684 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-18 23:42 . 2009-11-01 17:52 -------- d-----w- c:\users\iona\AppData\Roaming\vlc
2010-02-17 23:55 . 2009-11-02 15:49 1 ----a-w- c:\users\iona\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-02-13 20:51 . 2009-07-13 23:11 21584 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-02-05 15:56 . 2009-12-10 19:48 -------- d-----w- c:\program files\Google
2010-01-27 19:48 . 2009-12-04 20:50 90 ----a-w- c:\users\iona\AppData\Local\prsce.bat
2010-01-20 15:43 . 2009-11-04 18:47 -------- d-----w- c:\users\iona\AppData\Roaming\dvdcss
2010-01-20 11:49 . 2010-01-20 11:49 -------- d-----w- c:\program files\Seterra
2010-01-18 23:29 . 2010-02-13 16:42 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-18 23:29 . 2010-02-13 16:42 365568 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-18 23:29 . 2010-02-13 16:42 85504 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-18 23:29 . 2010-02-13 16:42 369152 ----a-w- c:\windows\system32\secproc.dll
2010-01-18 23:28 . 2010-02-13 16:42 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-18 23:28 . 2010-02-13 16:42 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-18 23:28 . 2010-02-13 16:42 320512 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-18 23:28 . 2010-02-13 16:42 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-14 10:12 . 2009-11-03 10:04 181120 ----a-w- c:\windows\system32\MpSigStub.exe
2010-01-13 02:26 . 2010-01-13 02:26 -------- d-----w- c:\program files\Microsoft Games
2010-01-08 03:18 . 2010-02-13 16:42 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-01-08 03:17 . 2010-02-13 16:42 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-19 09:02 . 2010-02-13 16:42 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-19 09:02 . 2010-02-13 16:42 1328640 ----a-w- c:\windows\system32\quartz.dll
2009-12-19 09:02 . 2010-02-13 16:42 22016 ----a-w- c:\windows\system32\msyuv.dll
2009-12-19 09:02 . 2010-02-13 16:42 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-19 09:02 . 2010-02-13 16:42 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-19 09:02 . 2010-02-13 16:42 84480 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-19 09:02 . 2010-02-13 16:42 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-19 09:02 . 2010-02-13 16:42 91648 ----a-w- c:\windows\system32\avifil32.dll
2009-12-08 23:42 . 2009-12-08 23:42 588080 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2009-12-08 08:05 . 2010-02-13 16:42 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-08 08:05 . 2010-02-13 16:42 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-08-20 09:05 . 2009-08-20 09:05 130158891 ----a-w- c:\program files\openofficeorg1.cab
2009-08-20 09:03 . 2009-08-20 09:03 9817600 ----a-w- c:\program files\openofficeorg31.msi
2009-08-19 08:42 . 2009-08-19 08:42 336 ----a-w- c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\iona\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-11-20 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
"CognizanceTS"="c:\progra~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll" [2003-12-22 17920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-19 13793824]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

R0 pavboot;pavboot;c:\windows\System32\drivers\pavboot.sys [13/02/2010 17:47 28552]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [13/02/2010 22:44 108289]
R2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe -k Cognizance [14/07/2009 00:19 20992]
R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [14/07/2009 00:19 20992]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\System32\StkCSrv.exe [31/10/2009 18:57 24576]
R3 AtcL001;NDIS Miniport Driver for Atheros L1 Gigabit Ethernet Controller;c:\windows\System32\drivers\l160x86.sys [19/07/2009 15:24 46592]
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\System32\drivers\netw5v32.sys [10/06/2009 22:18 4231168]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\System32\drivers\StkCMini.sys [31/10/2009 18:57 1260672]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10/12/2009 20:48 135664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
GPSvcGroup REG_MULTI_SZ GPSvc
.
Contenu du dossier 'Tâches planifiées'

2010-02-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-10 19:47]

2010-02-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-10 19:47]

2010-02-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2446567641-1486722638-490869257-1000Core.job
- c:\users\iona\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-20 22:46]

2010-02-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2446567641-1486722638-490869257-1000UA.job
- c:\users\iona\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-20 22:46]
.
.
------- Examen supplémentaire -------
.
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
FF - ProfilePath - c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://thepiratebay.toolbarhome.com/search.aspx?srch=ku&q=
FF - component: c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - component: c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\users\iona\AppData\Local\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\users\iona\AppData\Roaming\Mozilla\Firefox\Profiles\fieqwier.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\users\iona\AppData\Roaming\Mozilla\plugins\npgoogletalk.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{6D5F6FCA-E27E-406B-8A1F-88CE7F019C3F} - c:\windows\system32\rwrhyqe.dll
Notify-zzop93 - zzop93.dll
MSConfigStartUp-SyncMan - c:\windows\system32\SyncMan.exe

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x855D1618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x84cbf5f0
QueryNameProcedure -> 0x84cb65e8
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2446567641-1486722638-490869257-1000\Software\SecuROM\License information*]
"datasecu"=hex:eb,62,fd,ce,ff,f4,be,7f,ec,77,db,40,88,47,27,0a,d9,c0,56,90,c3,
1d,bb,69,67,77,65,96,b5,51,13,19,48,8d,77,89,66,74,de,1c,ac,aa,07,8f,b4,64,\
"rkeysecu"=hex:4c,c4,58,99,09,8a,46,48,d1,fd,d5,26,d7,4b,06,7f

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\taskhost.exe
c:\program files\ATKOSD2\ATKOSD2.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\program files\ATK Hotkey\ATKOSD.exe
c:\windows\system32\conhost.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
.
**************************************************************************
.
Heure de fin: 2010-02-19 23:51:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-19 22:51

Avant-CF: 7 699 566 592 octets libres
Après-CF: 7 567 101 952 octets libres

- - End Of File - - 80C19B0DD1D9104E3DFBF1871BAF8B52

dédétraqué · Answer

Salut linocanmiki 


Faire un scan de ce fichier SyncMan.exe ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
c:\windows\system32\config\systemprofil­e\SyncMan.exe
Après tu clique sur Envoyer le fichier et attendre le résultat de l’analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++   :)

linocanmiki · Answer

Bonjour, Ce fichier parait effectivement infecté. Rapport de l'analyse : PS : Evidement comme indiqué dans le résultat du test, quand j'ai parcouru le dossier contenant Syncman.exe Antivir m'a indiqué le cheval de troie TR/Crypt.ZPACK.Gen sur le fichier Syncman.exe... Je vais donc le supprimer voir si ca ira mieu après. Fichier SyncMan.exe reçu le 2010.02.20 14:55:59 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.02.20 Trojan.Crypt!IK AhnLab-V3 5.0.0.2 2010.02.20 - AntiVir 8.2.1.170 2010.02.19 TR/Crypt.ZPACK.Gen Antiy-AVL 2.0.3.7 2010.02.19 - Authentium 5.2.0.5 2010.02.20 - Avast 4.8.1351.0 2010.02.20 - AVG 9.0.0.730 2010.02.20 Small.BUU BitDefender 7.2 2010.02.20 Trojan.Dropper.Cutwail.IQ CAT-QuickHeal 10.00 2010.02.19 - ClamAV 0.96.0.0-git 2010.02.20 - Comodo 4002 2010.02.20 Heur.Suspicious DrWeb 5.0.1.12222 2010.02.20 Trojan.Packed.19699 eSafe 7.0.17.0 2010.02.18 Win32.TRCrypt.ZPACK eTrust-Vet 35.2.7315 2010.02.20 - F-Prot 4.5.1.85 2010.02.19 - F-Secure 9.0.15370.0 2010.02.19 - Fortinet 4.0.14.0 2010.02.20 - GData 19 2010.02.20 Trojan.Dropper.Cutwail.IQ Ikarus T3.1.1.80.0 2010.02.20 Trojan.Crypt Jiangmin 13.0.900 2010.02.20 - K7AntiVirus 7.10.977 2010.02.18 - Kaspersky 7.0.0.125 2010.02.17 - McAfee 5897 2010.02.19 - McAfee+Artemis 5897 2010.02.19 Artemis!B88F2F6E933E McAfee-GW-Edition 6.8.5 2010.02.19 Heuristic.LooksLike.Win32.Suspicious.A!80 Microsoft 1.5406 2010.02.20 - NOD32 4882 2010.02.20 - Norman 6.04.08 2010.02.20 - nProtect 2009.1.8.0 2010.02.20 - Panda 10.0.2.2 2010.02.20 Trj/CI.A PCTools 7.0.3.5 2010.02.19 - Prevx 3.0 2010.02.20 High Risk Cloaked Malware Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.20 Mal/Generic-A Sunbelt 5689 2010.02.20 - Symantec 20091.2.0.41 2010.02.20 Suspicious.Insight TheHacker 6.5.1.5.202 2010.02.20 - TrendMicro 9.120.0.1004 2010.02.20 TROJ_SHGRAY.SM VBA32 3.12.12.2 2010.02.19 - ViRobot 2010.2.19.2194 2010.02.19 Dropper.Agent.42531 VirusBuster 5.0.27.0 2010.02.19 - Information additionnelle File size: 42531 bytes MD5...: b88f2f6e933e4a0a69b0a6fe443269dc SHA1..: cc5f885d70e7fea8739b2a45f8ba749a1f6b8294 SHA256: 16de9202675b3b2b6145dfa18d4a4325b587210e9854090921486cf47baf8e62 ssdeep: 768:JGjt8xk7G2A2tZ7K88un8srCFlw4Zu+PmxkMl7AcJhZqrApLNcHkSLVrB:k9
nnAlw4E+Pmx/lfJhZQApLNiLVF
PEiD..: - PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3af
timedatestamp.....: 0x4b7a600e (Tue Feb 16 09:06:22 2010)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x20c 0x300 4.30 2872248aff5d6fd4b9361c9c568fff64
.rdata 0x600 0xfc 0x100 3.88 12119a9433d6ec14ac97d1596536967a
.data 0x700 0x42 0x100 1.39 a2d85fd52227707916ee70bcf1c060d6
.rsrc 0x800 0xd60 0xe00 5.39 ab990fe738109107fd6c6fecb1f1911c
.text 0x1600 0x9100 0x9100 7.81 779bd0098bb765b22e73925dfdc48446

( 2 imports )
> kernel32.dll: ExitProcess, GetLastError, GetModuleHandleA, GetProcAddress
> user32.dll: EnumChildWindows, MessageBoxA

( 0 exports )
RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) http://info.prevx.com/aboutprogramtext.asp?PX5=046C3808236F1FA4A6EF00E749804000F1AC1CAB sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

linocanmiki · Answer

en fait il semblerai que le problème soit partiellement résolu. Il y a toujours des dossiers qui se créent dans le dossier c:/Windows/temp mais il n'y a plus de fichier svchost dans ces dossiers, donc plus d'alerte antivir.

J'aimerais tout de même que le problème soit completement résolu car l'autre jour j'ai supprimé 60000 dossiers créés par le virus.. (obligé de vider temp régulierement ).

Merci pour votre aide.

linocanmiki · Answer

et puis un autre symptôme qui ne me semblait pas lié : le problème est apparu peut de temps après l'installation de googlechrome et que désormais celui ci ne fonctionne plus (rien ne s'affiche lors de l'execution).

En recherchant des informations sur SyncMan.exe je suis tombé sur un autre forum ou quelqu'un avait le même problème et que son googlechrome ne marchait plus non plus.

Virus qui créer des dossier dans Temp

21 réponses

Discussions similaires