Win32:Rootkit-gen détecté par Avast - Page 3

Résolu
Précédent
  • 1
  • 2
  • 3
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    re,

    Relance RSIT et poste le rapport obtenu.

    A+
    0
  2. olgaD Messages postés 35 Statut Membre
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Marie Schmitt at 2010-02-25 20:21:21
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 24 GB (52%) free of 46 GB
    Total RAM: 446 MB (35% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:21:29, on 25/02/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Program Files\Fichiers communs\GtFlashSwitch\GtFlashSwitch.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\OrangeFrance\Orange Connect\Orange Connect.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\RSIT.exe
    C:\Program Files\trend micro\Marie Schmitt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Program Files\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Orange Connect.lnk = C:\Program Files\OrangeFrance\Orange Connect\Orange Connect.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetupControlXP Class) - https://webconnect.cegelec.com/dana-cached/setup/JuniperSetupSP1.cab
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: GtFlashSwitch - OptionNV - C:\Program Files\Fichiers communs\GtFlashSwitch\GtFlashSwitch.exe
    O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    1/ Lance Hijackthis ( dans C:\ProgramFiles\Trend micro\Hijackthis.exe )et tu choisis " Do a system scan only ".
    Tu sélectionnes les lignes suivantes :

    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
    O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)


    Tu choisis l'option " Fixchecked" en bas de la page.

    2/ On va enlever les logiciels qui ont été utilisés..
    Télécharge ToolsCleaner .sur le bureau
    http://pc-system.fr/

    Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
    Il est possible que ton bureau disparaisse.

    Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

    3/ Tu vas utiliser CCleaner.
    http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

    utilise les fonctions nettoyeur et registre.

    4/ Tu vas nettoyer la restauration système et créer un point propre pour une utilisation ultérieure.

    Les points de restauration :


    - Panneau de configuration --> Système --> Restauration du système

    cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
    Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
    Accepte.

    Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

    - Tu vas recréer un point de restauration propre.

    Pour recréer un point de restauration :
    Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
    Choisis "Créer un point de restauration". Suis les invites.

    --------------------------------------------------------------------------------------

    Sur le 1er PC, télécharge RSIT et poste moi le rapport log.txt.
    http://images.malwareremoval.com/random/RSIT.exe

    A+
    0
  4. clemtheboss413 Messages postés 782 Statut Membre 7
     
    salut

    si sa c'est propagé par internet ca craint max ! ! !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonsoir, clemtheboss413

    Oui un max --> ++

    @+
    0
  7. clemtheboss413 Messages postés 782 Statut Membre 7
     
    bye
    0
  8. olgaD Messages postés 35 Statut Membre
     
    Bonjour,

    voici le rapport Tcleaner :

    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\cleannavi.txt: trouvé !
    C:\UsbFix.txt: trouvé !
    C:\_OTM: trouvé !
    C:\UsbFix: trouvé !
    C:\Rsit: trouvé !
    C:\Ad-remover: trouvé !
    C:\WINDOWS\msnfix.txt: trouvé !
    C:\WINDOWS\system32\*.msnfix: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\SmitFraudfix: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\OTM.exe: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Navilog1.exe: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\SmitFraudFix.exe: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Ad-R.exe: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\UsbFix.exe: trouvé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Rsit.exe: trouvé !
    C:\Program Files\Navilog1: trouvé !
    C:\Program Files\trend micro\HijackThis.exe: trouvé !
    C:\Program Files\trend micro\hijackthis.log: trouvé !
    C:\Program Files\Navilog1\Navilog1.bat: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\OTM.exe: supprimé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Navilog1.exe: supprimé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\SmitFraudFix.exe: supprimé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Ad-R.exe: supprimé !
    C:\Program Files\trend micro\HijackThis.exe: supprimé !
    C:\Program Files\Navilog1\Navilog1.bat: supprimé !
    C:\cleannavi.txt: supprimé !
    C:\UsbFix.txt: supprimé !
    C:\WINDOWS\msnfix.txt: supprimé !
    C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\UsbFix.exe: supprimé !
    C:\Documents and Settings\Marie Schmitt\Bureau\Nouveau dossier\Rsit.exe: supprimé !
    C:\Program Files\trend micro\hijackthis.log: supprimé !
    C:\_OTM: supprimé !
    C:\UsbFix: supprimé !
    C:\Rsit: supprimé !
    C:\Ad-remover: supprimé !
    C:\Documents and Settings\Marie Schmitt\Bureau\SmitFraudfix: supprimé !
    C:\Program Files\Navilog1: supprimé !
    0
  9. olgaD Messages postés 35 Statut Membre
     
    et le rapport log pour le premier pc :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Marie at 2010-02-26 13:28:07
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 9 GB (29%) free of 30 GB
    Total RAM: 1023 MB (59% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:28:08, on 26/02/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16981)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\RunDll32.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
    C:\Program Files\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Documents and Settings\Marie\Bureau\RSIT.exe
    C:\Program Files\trend micro\Marie.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0DAA0F3B-5EAA-411B-B4EB-E029C01120CB}: NameServer = 84.103.237.144,86.84.145.144
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0DAA0F3B-5EAA-411B-B4EB-E029C01120CB}: NameServer = 84.103.237.144,86.84.145.144
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0DAA0F3B-5EAA-411B-B4EB-E029C01120CB}: NameServer = 84.103.237.144,86.84.145.144
    O17 - HKLM\System\CS4\Services\Tcpip\..\{0DAA0F3B-5EAA-411B-B4EB-E029C01120CB}: NameServer = 84.103.237.144,86.84.145.144
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTServ.exe
    O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe
    O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Program Files\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OlgaD,

    Je t'ai demandé de repasser RSIT car j'avais remarqué un fichier présent dans le 1er rapport que tu avais posté.
    C:\DOCUME~1\Marie\LOCALS~1\Temp\Google Toolbar\gtb3A2.tmp.exe

    Il n'est pas présent dans le rapport que tu viens de poster mais on va tout de même faire une recherche sur ce fichier.
    Si on ne le trouve pas, on aura terminé.

    Télécharge SEAF ( de C_XX )
    http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

    # Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .

    # Tape gtb3A2 dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".

    # Laisse l'outil scanner.

    # Copie/Colle le rapport qui s'ouvrira dans ton prochain message

    A+
    0
    1. olgaD Messages postés 35 Statut Membre
       
      1. ========================= SEAF 1.0.0.7 - C_XX
      2.
      3. Commencé à: 14:50:51 le 26/02/2010
      4.
      5. Valeur(s) recherchée(s):
      6.
      7. gtb3A2
      8.
      9.
      10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
      11.
      12. Aucun fichier trouvé
      13.
      14. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
      15.
      16. Aucun dossier trouvé
      17.
      18. =========================
      19.
      20. Fin à: 14:51:44 le 26/02/2010 ( E.O.F )
      0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    C'est nickel.

    Désinstalle Hijackthis via le panneau de configuration.
    Supprime RSIT et SEAF sur ton bureau et le dossier C:\RSIT.

    On a terminé.
    les deux PC doivent être propre.

    Bonne continuation.
    Ce fut un échange intéressant.

    Salut.
    0
    1. olgaD Messages postés 35 Statut Membre
       
      Je te remercie vaiment beaucoup !!!!!

      Bone contination et peut être à bientôt dans de meilleures conditions !!!

      Bye bye
      0
  12. olgaD Messages postés 35 Statut Membre
     
    Bonjour Verni29,

    Si tu passes dans le coin j'ai encore une question pour toi :

    La carte memoire mini Sd de mon téléphone portable est aussi infecté par le virus. Je l'ai connecté sur mon pc, Avast à detecter le virus mais je n'ai pas reussi à ouvrir le dossier de la carte. Est ce que j'ai reinfecté mon pc ? (avast n'a rien detecté depuis) et comment puis je nettoyer ma carte miniSD ?

    Merci d'avance

    à+
    0
  13. olgaD Messages postés 35 Statut Membre
     
    ok merci,

    voila le rapport :

    ############################## | UsbFix V6.099 |

    User : Marie (Administrateurs) # MARIE-WSQ1PRCYJ
    Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 20:49:06 | 10/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! Antivirus 5.0.83886498 [ Enabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 29,29 Go (8,04 Go free) # NTFS
    D:\ -> Disque fixe local # 47,03 Go (35,51 Go free) # NTFS
    E:\ -> Disque CD-ROM # 546,66 Mo (0 Mo free) [Dell 926] # CDFS
    F:\ -> Disque amovible # 1,89 Go (1,89 Go free) # FAT

    ################## | Elements infectieux |

    E:\autorun.inf
    F:\autorun.inf -> fichier appelé : "F:\wfx062.exe" ( Présent ! )
    F:\autorun.inf
    F:\rg9g9bgq.exe
    F:\wfx062.exe
    F:\ycvvj.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{92ed9043-5ee0-11dc-bd44-806d6172696f}
    Shell\AutoRun\command =E:\Setup.EXE

    HKCU\..\..\Explorer\MountPoints2\{dd8bee0b-2c7c-11df-bea3-000c763fd70e}
    Shell\AutoRun\command =F:\wfx062.exe
    Shell\open\Command =F:\wfx062.exe

    ################## | Vaccin |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | ! Fin du rapport # UsbFix V6.099 ! |
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Passe USBFix avec l'option 2.

    A+
    0
  15. olgaD Messages postés 35 Statut Membre
     
    voila c'est fait ... ci joint le rapport :

    ############################## | UsbFix V6.099 |

    User : Marie (Administrateurs) # MARIE-WSQ1PRCYJ
    Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 18:08:31 | 11/03/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 2.80GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled
    AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 29,29 Go (7,98 Go free) # NTFS
    D:\ -> Disque fixe local # 47,03 Go (35,51 Go free) # NTFS
    E:\ -> Disque CD-ROM # 546,66 Mo (0 Mo free) [Dell 926] # CDFS
    F:\ -> Disque amovible # 1,89 Go (1,89 Go free) # FAT

    ################## | Elements infectieux |

    Supprimé ! C:\Recycler\S-1-5-21-842925246-343818398-725345543-1003
    Supprimé ! D:\Recycler\S-1-5-21-842925246-343818398-725345543-1003
    (!) Non supprimé ! E:\autorun.inf
    F:\autorun.inf -> fichier appelé : "F:\wfx062.exe" ( Présent ! )
    Supprimé ! F:\wfx062.exe
    Supprimé ! F:\autorun.inf
    Supprimé ! F:\rg9g9bgq.exe
    Supprimé ! F:\ycvvj.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing des fichiers présent |

    [09/09/2007 14:36|--a------|0] C:\AUTOEXEC.BAT
    [10/09/2007 19:10|-rahs----|212] C:\boot.ini
    [24/04/2003 13:00|-rahs----|4952] C:\Bootfont.bin
    [09/09/2007 14:36|--a------|0] C:\CONFIG.SYS
    [09/09/2007 14:36|-rahs----|0] C:\IO.SYS
    [09/09/2007 14:36|-rahs----|0] C:\MSDOS.SYS
    [10/09/2007 19:05|-rahs----|47564] C:\NTDETECT.COM
    [20/02/2010 15:58|-rahs----|252240] C:\ntldr
    [?|?|?] C:\pagefile.sys
    [11/03/2010 18:14|--a------|1763] C:\UsbFix.txt
    [14/06/2005 20:01|--a------|610304] D:\mastermind.exe
    [14/07/2006 16:41|-r-h-----|25] E:\autorun.inf
    [03/11/2006 23:07|-r-------|304008] E:\Setup.exe
    [02/11/2006 13:44|-r-h-----|162] E:\Setup.ini
    [04/08/2008 13:48|---hs----|4096] F:\tfs4_160.ess

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_MARIE-WSQ1PRCYJ.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.099 ! |
    0
  16. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Peux-tu envoyer le fichier .zip au concepteur de USBFix ?
    Il se trouve en C:\UsbFix_Upload_Me_MARIE-WSQ1PRCYJ.zip

    C'est bon, la carte doit être nettoyé.
    C'est impressionnant avec ces infections par support. Elles infectent tout type de support.

    Si tu le veux, tu peux brancher ta carte et lancer un scan avec Avast.
    Tu me diras le résultat.

    A+
    0
  17. olgaD Messages postés 35 Statut Membre
     
    ok je te remercie beaucoup !!!!

    j'ai lancé le scan et il n'a trouvé aucune menace !!!!

    encore merci !!! je vais faire attention à ce que je fais maintenent !!!

    Bon week end !!!
    0
Précédent
  • 1
  • 2
  • 3