Virus... cryptdll32.dll
heiariki
-
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,
¨j'ai le même problème avec le virus ds cryptdll32.dll
Il fait que de s'afficher et impossible de le supprimer avec avira.
Voici mon rapport de avira:
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 18 février 2010 09:47
La recherche porte sur 1769573 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : HEIARIKI
Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 21:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 20:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 21:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 20:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:01:11
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:03:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:04:12
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 20:04:13
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 20:04:14
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 20:04:15
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 20:04:15
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 20:04:16
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 20:04:17
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 20:04:18
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 20:04:19
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 20:04:20
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 20:04:21
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 20:04:28
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 20:04:32
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 20:04:35
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 20:04:39
VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 20:04:42
VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 20:04:46
VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 20:04:50
VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 20:04:54
VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 20:04:59
VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 20:05:03
VBASE024.VDF : 7.10.4.63 2048 Bytes 15/02/2010 20:05:04
VBASE025.VDF : 7.10.4.64 2048 Bytes 15/02/2010 20:05:05
VBASE026.VDF : 7.10.4.65 2048 Bytes 15/02/2010 20:05:06
VBASE027.VDF : 7.10.4.66 2048 Bytes 15/02/2010 20:05:07
VBASE028.VDF : 7.10.4.67 2048 Bytes 15/02/2010 20:05:08
VBASE029.VDF : 7.10.4.68 2048 Bytes 15/02/2010 20:05:09
VBASE030.VDF : 7.10.4.69 2048 Bytes 15/02/2010 20:05:10
VBASE031.VDF : 7.10.4.83 120320 Bytes 17/02/2010 20:05:15
Version du moteur : 8.2.1.170
AEVDF.DLL : 8.1.1.3 106868 Bytes 17/02/2010 20:08:13
AESCRIPT.DLL : 8.1.3.15 827771 Bytes 17/02/2010 20:08:08
AESCN.DLL : 8.1.4.0 127348 Bytes 17/02/2010 20:07:53
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 17:38:44
AERDL.DLL : 8.1.4.2 479602 Bytes 17/02/2010 20:07:45
AEPACK.DLL : 8.2.0.8 426357 Bytes 17/02/2010 20:07:24
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 17:38:38
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 17/02/2010 20:06:29
AEHELP.DLL : 8.1.10.0 237942 Bytes 17/02/2010 20:05:36
AEGEN.DLL : 8.1.1.86 369012 Bytes 17/02/2010 20:05:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 17:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 17/02/2010 20:05:21
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 17:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 18:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/08/2009 01:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 20:08:21
AVREG.DLL : 9.0.0.0 36609 Bytes 08/11/2008 01:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 25/03/2009 01:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 20:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 29/01/2009 01:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 18:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 08/11/2008 01:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 23:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 03/11/2009 02:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Début de la recherche : jeudi 18 février 2010 09:47
La recherche d'objets cachés commence.
'53727' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'SLUTrayNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SNMWLANService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PerformanceManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MagicKBD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EDSAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
Le registre a été contrôlé ( '57' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <Heiariki>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033555.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033556.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
C:\_OTM\MovedFiles\02182010_094008\C_WINDOWS\System32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
Recherche débutant dans 'D:\'
Début de la désinfection :
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a82d859.qua' !
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033555.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4badab09.qua' !
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033556.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a2897f2.qua' !
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf6ab4b.qua' !
C:\_OTM\MovedFiles\02182010_094008\C_WINDOWS\System32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a729e7c.qua' !
Fin de la recherche : jeudi 18 février 2010 11:02
Temps nécessaire: 1:12:50 Heure(s)
La recherche a été effectuée intégralement
5988 Les répertoires ont été contrôlés
401997 Des fichiers ont été contrôlés
5 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
5 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
401990 Fichiers non infectés
8280 Les archives ont été contrôlées
3 Avertissements
7 Consignes
53727 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Puis j'ai télécharger RSIT, voilà le rapport log :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Heiariki Tevaearai at 2010-02-18 09:35:00
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 53 GB (73%) free of 73 GB
Total RAM: 1014 MB (52% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:35:02, on 18/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\RSIT.exe
C:\Program Files\trend micro\Heiariki Tevaearai.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {03956454-F8C4-4A82-BFEC-21B9E32B2541} - C:\WINDOWS\System32\ctl3d3232.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Heiariki Tevaearai] C:\Documents and Settings\Heiariki Tevaearai\Heiariki Tevaearai.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\cryptdll32.dll
O20 - Winlogon Notify: 28a86f00724 - C:\WINDOWS\System32\cryptdll32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
¨j'ai le même problème avec le virus ds cryptdll32.dll
Il fait que de s'afficher et impossible de le supprimer avec avira.
Voici mon rapport de avira:
Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 18 février 2010 09:47
La recherche porte sur 1769573 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : HEIARIKI
Informations de version :
BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 21:25:46
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 20:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 21:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 20:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:01:11
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 20:03:35
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 20:04:12
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 20:04:13
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 20:04:14
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 20:04:15
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 20:04:15
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 20:04:16
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 20:04:17
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 20:04:18
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 20:04:19
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 20:04:20
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 20:04:21
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 20:04:28
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 20:04:32
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 20:04:35
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 20:04:39
VBASE018.VDF : 7.10.3.222 64512 Bytes 05/02/2010 20:04:42
VBASE019.VDF : 7.10.3.243 75776 Bytes 08/02/2010 20:04:46
VBASE020.VDF : 7.10.4.6 81920 Bytes 09/02/2010 20:04:50
VBASE021.VDF : 7.10.4.30 78848 Bytes 11/02/2010 20:04:54
VBASE022.VDF : 7.10.4.50 107520 Bytes 15/02/2010 20:04:59
VBASE023.VDF : 7.10.4.62 105472 Bytes 15/02/2010 20:05:03
VBASE024.VDF : 7.10.4.63 2048 Bytes 15/02/2010 20:05:04
VBASE025.VDF : 7.10.4.64 2048 Bytes 15/02/2010 20:05:05
VBASE026.VDF : 7.10.4.65 2048 Bytes 15/02/2010 20:05:06
VBASE027.VDF : 7.10.4.66 2048 Bytes 15/02/2010 20:05:07
VBASE028.VDF : 7.10.4.67 2048 Bytes 15/02/2010 20:05:08
VBASE029.VDF : 7.10.4.68 2048 Bytes 15/02/2010 20:05:09
VBASE030.VDF : 7.10.4.69 2048 Bytes 15/02/2010 20:05:10
VBASE031.VDF : 7.10.4.83 120320 Bytes 17/02/2010 20:05:15
Version du moteur : 8.2.1.170
AEVDF.DLL : 8.1.1.3 106868 Bytes 17/02/2010 20:08:13
AESCRIPT.DLL : 8.1.3.15 827771 Bytes 17/02/2010 20:08:08
AESCN.DLL : 8.1.4.0 127348 Bytes 17/02/2010 20:07:53
AESBX.DLL : 8.1.1.1 246132 Bytes 08/11/2009 17:38:44
AERDL.DLL : 8.1.4.2 479602 Bytes 17/02/2010 20:07:45
AEPACK.DLL : 8.2.0.8 426357 Bytes 17/02/2010 20:07:24
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08/11/2009 17:38:38
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 17/02/2010 20:06:29
AEHELP.DLL : 8.1.10.0 237942 Bytes 17/02/2010 20:05:36
AEGEN.DLL : 8.1.1.86 369012 Bytes 17/02/2010 20:05:29
AEEMU.DLL : 8.1.1.0 393587 Bytes 08/11/2009 17:38:26
AECORE.DLL : 8.1.11.1 184694 Bytes 17/02/2010 20:05:21
AEBB.DLL : 8.1.0.3 53618 Bytes 08/11/2009 17:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 18:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 27/08/2009 01:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 20:08:21
AVREG.DLL : 9.0.0.0 36609 Bytes 08/11/2008 01:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 25/03/2009 01:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 20:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 29/01/2009 01:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 18:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 08/11/2008 01:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 23:44:26
RCTEXT.DLL : 9.0.73.0 88321 Bytes 03/11/2009 02:58:32
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Début de la recherche : jeudi 18 février 2010 09:47
La recherche d'objets cachés commence.
'53727' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'SLUTrayNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SNMWLANService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IoctlSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMIndexStoreSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SuperCopier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PerformanceManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MagicKBD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QTTask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EDSAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
Le registre a été contrôlé ( '57' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <Heiariki>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033555.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033556.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
C:\_OTM\MovedFiles\02182010_094008\C_WINDOWS\System32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
Recherche débutant dans 'D:\'
Début de la désinfection :
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a82d859.qua' !
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033555.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4badab09.qua' !
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP134\A0033556.vbs
[RESULTAT] Contient le modèle de détection du programme SPR/FWBypass.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a2897f2.qua' !
C:\WINDOWS\system32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf6ab4b.qua' !
C:\_OTM\MovedFiles\02182010_094008\C_WINDOWS\System32\cryptdll32.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.B.7
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a729e7c.qua' !
Fin de la recherche : jeudi 18 février 2010 11:02
Temps nécessaire: 1:12:50 Heure(s)
La recherche a été effectuée intégralement
5988 Les répertoires ont été contrôlés
401997 Des fichiers ont été contrôlés
5 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
5 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
401990 Fichiers non infectés
8280 Les archives ont été contrôlées
3 Avertissements
7 Consignes
53727 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
Puis j'ai télécharger RSIT, voilà le rapport log :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Heiariki Tevaearai at 2010-02-18 09:35:00
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 53 GB (73%) free of 73 GB
Total RAM: 1014 MB (52% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:35:02, on 18/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\RSIT.exe
C:\Program Files\trend micro\Heiariki Tevaearai.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {03956454-F8C4-4A82-BFEC-21B9E32B2541} - C:\WINDOWS\System32\ctl3d3232.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Heiariki Tevaearai] C:\Documents and Settings\Heiariki Tevaearai\Heiariki Tevaearai.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\cryptdll32.dll
O20 - Winlogon Notify: 28a86f00724 - C:\WINDOWS\System32\cryptdll32.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
A voir également:
- Virus... cryptdll32.dll
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Xinput1_3.dll - Forum Jeux PC
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
3 réponses
bonjour, plusieurs infection sur ton pc !!
tu fais ce qui suit ,merci
1) passes ad-remover option L
• Télécharge Ad-remover ( de C_XX ) sur ton bureau :
https://www.androidworld.fr/
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
2) passes usbfix option 2
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Télécharges et installes : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• choisis l'option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.
. UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
Merci d'avance pour ta contribution !!
3) fais un examem complet de ton pc avec malwarebytes
Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
4) postes un hijackthis de contrôle
télécharge Hijackthis : http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"
si besion d'aide pour l'installation : https://www.androidworld.fr/
des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
tu fais ce qui suit ,merci
1) passes ad-remover option L
• Télécharge Ad-remover ( de C_XX ) sur ton bureau :
https://www.androidworld.fr/
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
2) passes usbfix option 2
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
• Télécharges et installes : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• choisis l'option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
Nous vous remercions pour votre contribution.
. UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
Merci d'avance pour ta contribution !!
3) fais un examem complet de ton pc avec malwarebytes
Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
4) postes un hijackthis de contrôle
télécharge Hijackthis : http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"
si besion d'aide pour l'installation : https://www.androidworld.fr/
des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
bonjour , cela est pas mal du tous quelque lignes à fixer , et des mise à jour et un nettoyage avec ccleaner , tu fais cela et normalement ton pc est clean !!
1) Fixer les lignes
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.Lances HijackThis
.Cliques sur "Do a system scan only"
.Tu coches les lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
O2 - BHO: (no name) - {03956454-F8C4-4A82-BFEC-21B9E32B2541} - C:\WINDOWS\System32\ctl3d3232.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
.Tu cliques sur "Fix Checked"
.Tu fermes HijackThis
des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
2) désinstalles les outils utiliser avec toolscleaner2
il te restera malwarebytes je je te conseillerais de garder !!
Télécharge toolscleaner sur ton Bureau : http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm
si le lien ne marche pas essais avec celui ci https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
. Double-cliques sur ToolsCleaner2.bat et laisse le travailler
. Cliques sur Recherche et laisse le scan se terminer.
. Cliques sur Suppression pour finaliser.
. Tu peux, si tu le souhaites, te servir des Options facultatives.
. Clique sur Quitter, pour que le rapport puisse se créer.
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
3) fais tes mises à jour
rends toi sur ce site et met IE8 xp http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&DisplayLang=fr
désinstalles adobe reader car pas à jour et telecharges et installes cette version :
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/
vériffis la mise à jour de java :
tu vas dans panneau de configuration
tu double cliques sur java " la tasse de cafè"
et sur l'onglet mise à jour, tu cliques sur mettre à jour maintenant et tu suis les consignes
4) passes ccleaner avec les réglages donnés
télécharges Ccleaner à partir de cette adresses
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner
pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96
5) il restera la restauration système qu'il faudra purger
1) Fixer les lignes
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.Lances HijackThis
.Cliques sur "Do a system scan only"
.Tu coches les lignes suivantes :
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
O2 - BHO: (no name) - {03956454-F8C4-4A82-BFEC-21B9E32B2541} - C:\WINDOWS\System32\ctl3d3232.dll (file missing)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
.Tu cliques sur "Fix Checked"
.Tu fermes HijackThis
des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
2) désinstalles les outils utiliser avec toolscleaner2
il te restera malwarebytes je je te conseillerais de garder !!
Télécharge toolscleaner sur ton Bureau : http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm
si le lien ne marche pas essais avec celui ci https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
. Double-cliques sur ToolsCleaner2.bat et laisse le travailler
. Cliques sur Recherche et laisse le scan se terminer.
. Cliques sur Suppression pour finaliser.
. Tu peux, si tu le souhaites, te servir des Options facultatives.
. Clique sur Quitter, pour que le rapport puisse se créer.
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
3) fais tes mises à jour
rends toi sur ce site et met IE8 xp http://www.microsoft.com/downloads/details.aspx?FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b&DisplayLang=fr
désinstalles adobe reader car pas à jour et telecharges et installes cette version :
https://www.commentcamarche.net/telecharger/bureautique/2625-adobe-reader/
vériffis la mise à jour de java :
tu vas dans panneau de configuration
tu double cliques sur java " la tasse de cafè"
et sur l'onglet mise à jour, tu cliques sur mettre à jour maintenant et tu suis les consignes
4) passes ccleaner avec les réglages donnés
télécharges Ccleaner à partir de cette adresses
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner
pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ou plus ici: http://www.lescofofides.fr/forum/viewtopic.php?f=30&t=96
5) il restera la restauration système qu'il faudra purger
Voici le rapport de tcleaner:
Question : Est-ce obliger de télécharger Internet explorer 8???
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\OTM.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\Rsit.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\HJTInstall.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\UsbFix.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Recent\UsbFix.lnk: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\OTM.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\HJTInstall.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\Rsit.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\UsbFix.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Recent\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
Question : Est-ce obliger de télécharger Internet explorer 8???
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Ad-remover: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\OTM.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\Rsit.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\HJTInstall.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\UsbFix.exe: trouvé !
C:\Documents and Settings\Heiariki Tevaearai\Recent\UsbFix.lnk: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\trend micro\HijackThis: trouvé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\OTM.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\HJTInstall.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Logiciels\Rsit.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Mes documents\Solution pr enlever le méga virus\UsbFix.exe: supprimé !
C:\Documents and Settings\Heiariki Tevaearai\Recent\UsbFix.lnk: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !
C:\Ad-remover: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\trend micro\HijackThis: supprimé !
bonjour, oui car mêmesi tu ne temps sers pas windows l'utilise pour les mises à jour et avoir un logiciel pas à jour cela représentes une failles de sécurité que les développeurs de malwares exploite pour infecter le pc regarde pourquoi garder IE à JOUR
la seule raison qui pourrait empêcher la mise à jour de IE c'est un windows piraté , car la microsoft bloques
la seule raison qui pourrait empêcher la mise à jour de IE c'est un windows piraté , car la microsoft bloques
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:52:53, 18/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: HEIARIKI | Utilisateur actuel: Heiariki Tevaearai
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\AskBarDis
C:\Program Files\AskSearch
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Trymedia
(!) -- Fichiers temporaires supprimés.
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
Enable Browser Extensions: yes
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3926 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
31 Fichier(s) - C:\DOCUME~1\HEIARI~1\LOCALS~1\Temp
139 Fichier(s) - C:\WINDOWS\Temp
0 Fichier(s) - C:\WINDOWS\Prefetch
.
16 Fichier(s) - C:\Ad-Remover\BACKUP
26 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 13:57:58 | 18/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.
############################## | UsbFix V6.095 |
User : Heiariki Tevaearai (Administrateurs) # HEIARIKI
Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:21:23 | 18/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,04 Go (53,41 Go free) [Heiariki] # NTFS
D:\ -> Disque fixe local # 72 Go (65,54 Go free) # NTFS
F:\ -> Disque amovible # 1,91 Go (1,31 Go free) [KIKI] # FAT
G:\ -> Disque amovible # 3,73 Go (1,76 Go free) [HEIARIKI] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Elements infectieux |
Supprimé ! C:\Recycler\S-1-5-21-1409082233-1383384898-1644491937-1003
Supprimé ! C:\Recycler\S-1-5-21-302473626-1325954898-2150093697-1005
Supprimé ! D:\Recycler\S-1-5-21-302473626-1325954898-2150093697-1005
Supprimé ! F:\e.cmd
Supprimé ! F:\Heiariki Tevaearai.exe
################## | Registre |
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Heiariki Tevaearai"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{00e6bf22-1907-11de-8188-001377aea79c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{88c4698c-3444-11de-81c6-001377aea79c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8e9d78de-8dfa-11de-8256-001377aea79c}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[06/10/2008 01:06|--a------|0] C:\AUTOEXEC.BAT
[17/12/2008 14:12|-rahs----|216] C:\boot.ini
[14/04/2008 02:00|-rahs----|4952] C:\Bootfont.bin
[06/10/2008 01:06|--a------|0] C:\CONFIG.SYS
[19/08/2009 19:47|--a------|3532] C:\drmHeader.bin
[?|?|?] C:\hiberfil.sys
[06/10/2008 01:06|-rahs----|0] C:\IO.SYS
[06/10/2008 01:14|-ra------|349] C:\Marvell0.log
[06/10/2008 01:06|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 02:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 02:00|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[06/10/2008 01:18|--a------|173] C:\Setup.log
[18/02/2010 13:28|--a------|4018] C:\UsbFix.txt
[13/04/2008 19:34|--a------|28672] D:\setupSNK.exe
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_HEIARIKI.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.095 ! |
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3759
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
18/02/2010 15:11:16
mbam-log-2010-02-18 (15-11-15).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 220249
Temps écoulé: 1 hour(s), 2 minute(s), 14 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 24
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\cryptdll32.dll (Trojan.Agent) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\28a86f00724 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\WINDOWS\system32\SysWoW32 (Worm.Archive) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\WINDOWS\system32\cryptdll32.dll (Trojan.Agent) -> Delete on reboot.
C:\System Volume Information\_restore{66EBC64C-43A2-4B51-A681-FD9FF7C8A078}\RP135\A0033702.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dmusic32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dinput32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\expsrv32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fmifs32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dmconfig32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\@u1928475994v2 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\@u1928475994v5 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\mi1928475994v4.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\mi1928475994v6.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\mi1928475994v7.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\mu1928475994v5 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\mu1928475994v5.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v0 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v0.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v1 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v1.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v2 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v2.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v3 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\wu1928475994v3.kwd (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\SysWoW32\_u1928475994v5 (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\GnuHashes.ini (Malware.Trace) -> Quarantined and deleted successfully.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:19:21, on 18/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Samsung\Samsung Update Plus\SLUTrayNotifier.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {03956454-F8C4-4A82-BFEC-21B9E32B2541} - C:\WINDOWS\System32\ctl3d3232.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BatteryManager] C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Program Files\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Program Files\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe