PC infecté - gammima Fermé

Question

Bonjour,

mon pc est équipé de Norton Antivirus, il détecte un virus nommé "gammima" mais il n'arrive pas a s'en débarrasser.
J'ai essayer de rechercher sur le net comment faire mais je n'arrive pas à la supprimer.

Dans mon cas, ce virus me ralenti mon ordinateur, me fait bugguer Norton, il infecte aussi l'explorateur Windows dans le sens que je ne peut plus afficher les fichiers cachés.

Je pense que j'ai eu ce virus en connectant ma clé USB.

Si vous pouvez m'aider,

Merci d'avance

truecode · Answer

Bonjour,

Poste ces deux rapports qui vont permettre d'en savoir un peu plus sur l'infection .
( ils seront dans C:\RSIT ) 

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT. 
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

pitch069 · Answer

d'accord je vais faire ca, merci de te pencher sur mon problème.

pitch069 · Answer

Voici pour le fichier info.txt : http://www.cijoint.fr/cjlink.php?file=cj201002/cij8vGVcXH.txt
Voici pour le fichier log.txt : http://www.cijoint.fr/cjlink.php?file=cj201002/cijkvw2aAO.txt

truecode · Answer

Bonjour,

Fais cela : 


• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

pitch069 · Answer

Voici le rapport UsbFix.txt :


############################## | UsbFix V6.097 |

User : c.cecillon () # PC341
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 09:00:04 | 26/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU          6600  @ 2.40GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Symantec AntiVirus Corporate Edition 10.1.5.5000 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 54,97 Go (27,7 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 955,73 Mo (423,75 Mo free) [CHRIS USB] # FAT
Z:\ -> Connexion réseau # 127,97 Go (77,66 Go free) [DATA] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\PRQA\FLEXlm-9.5\lmgrd.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\PRQA\FLEXlm-9.5\prflexd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

C:\autorun.inf -> fichier appelé : "C:\s1.exe" ( Présent ! )  
C:\autorun.inf  
C:	gt.exe  
E:\autorun.inf -> fichier appelé : "E:\s1.exe" ( Présent ! )  
E:\autorun.inf  
E:	gt.exe  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"  
[HKLM\SOFTWARE\Classes\CLSID\MADOWN]  
[HKCR\CLSID\MADOWN]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{e5d8dfad-d426-11de-9ee0-001aa000f7ee}
Shell\AutoRun\command =E:	gt.exe 
Shell\open\Command =E:	gt.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.097 ! |

truecode · Answer

Maintenant on passe au nettoyage ; 


• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
•  Choisis l'option 2 (Suppression).
•  Ton Bureau disparaîtra et le PC redémarrera.
•  Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
•  Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

pitch069 · Answer

j'ai fait l'option 2, mon PC redemarrer bien, ensuite je me log a ma session, USBfix demarre et et bloc a 30% (il y a marquer c:	gt.exe), j'ai ressayer une 2eme fois, cette fois il a bloque encore a 30% mais sur c:\program files\yong.exe.

A chaque fois j'ai attendu bien 5 min avant de fermer la fenetre de usbfix et de redemarrer mon pc en le rebootant.

truecode · Answer

Donc tu arrive a arriver a ton bureau en mode normal ou pas ?

pitch069 · Answer

quand je lance USBfix avec l'option 2, mon pc redemarre bien tt seul.
Apres il me demande de me logguer, donc je me loggue.

j'arrive sur le fond d'ecran de mon bureau (mais sans aucune icone et sans la barre de tache windows), il fenetre dos s'ouvre ou USBfix fait ce qu'il a a faire, mais arriver a 30% il bloque et plus rien ne se passe, donc je ferme la fentetrer DOS, mais je n'ai tps pas d'icone ou la barre de tache. 

et la ba jsui obliger de rebooter le PC pour pouvoir me relogguer et arriver sur mon bureau.

truecode · Answer

On va faire autrement alors c'est bizarre normalement usbfix aurais du supprimer le fichier herss.exe 

-+-+-+-> OTMoveIt <-+-+-+- 


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.zebulon.fr/telechargements/divers/outils/otmoveit.html sur ton Bureau. 

[x] Double-clique sur OTMoveIt.exe. 

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée. 

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved 

:processes 
explorer.exe 

:reg 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"cdoosoft"=- 

:files 
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\herss.exe 

:commands 
[emptytemp] 
[purity] 
[start explorer] 

[x] Clique sur MoveIt! pour lancer la suppression. 

[x] Si OTMoveIt propose de redémarrer ton PC, accepte. 

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit. 

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles 


Puis fais cela : 


 Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

   1. Double clique sur le fichier téléchargé
   2. Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
   3. Quand la mise à jour est terminé va dans l'onglet
   4. Tu sélectionne "Exécuter un examen complet"
   5. Puis tu clique sur"Rechercher"

      L'analyse démarre, le scan est relativement long, c'est normal.

      A la fin de l'analyse, un message s'affiche :

   6. L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

   7. Maintenant tu clique sur "Ok" pour poursuivre.
   8.Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
   9. Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
  10.Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
  11. Le Bloc-notes va s'ouvrir avec le rapport d'analyse
  12. Fais un copier coller de ce rapport etposte-le dans ton prochain message.

pitch069 · Answer

je suis entrain de faire l'analyse avec "malwarebytes MBAM", je posterais les résultats de 'OTMoveIt' et 'MBAM' des que c'est finis.

truecode · Answer

D'accord pas de soucis moi je dois m'absenter 3-4 h je regarderais cela a mon retour

pitch069 · Answer

Voici le rapport de OTMoveIt : 
__________________________________________________________________________________________
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft not found.
========== FILES ==========
File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\herss.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: c.cecillon
->Temp folder emptied: 86374610 bytes
->Temporary Internet Files folder emptied: 5409150 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 96124511 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 34665 bytes
 
User: NetworkService
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: v.del medico
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2167404 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 127611965 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 64743568 bytes
 
Total Files Cleaned = 365,00 mb
 
 
OTM by OldTimer - Version 3.1.9.0 log created on 02262010_113427

Files moved on Reboot...
C:\Documents and Settings\c.cecillon\Local Settings\Temp\cvasds0.dll moved successfully.
C:\Documents and Settings\NetworkService\Local Settings\Temp\Perflib_Perfdata_7a4.dat moved successfully.

Registry entries deleted on Reboot...
_________________________________________________________________________________________



et voici le rapport de MBAM:
________________________________________________________________________________________
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3795
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/02/2010 14:22:32
mbam-log-2010-02-26 (14-22-32).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|Z:\|)
Eléments examinés: 376386
Temps écoulé: 2 hour(s), 38 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:	gt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\HTML Help Workshop\advpack.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
_________________________________________________________________________________________

truecode · Answer

Fais un nouveau scan RSIT et poste le rapport log.txt

pitch069 · Answer

Je n'ai pas acces a mon PC avant lundi, je ferais le nouveau scan lundi matin.

Bon weekend !

truecode · Answer

Bon weekend a toi aussi

pitch069 · Answer

Voici mon rapport RSIT : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by c.cecillon at 2010-03-01 08:53:51
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 28 GB (51%) free of 56 GB
Total RAM: 1022 MB (22% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:53:56, on 01/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\PRQA\FLEXlm-9.5\lmgrd.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\PRQA\FLEXlm-9.5\prflexd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\eclipse\eclipse.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
C:\Program Files\Notepad++
otepad++.exe
C:\Documents and Settings\c.cecillon\Bureau\RSIT.exe
C:\Documents and Settings\c.cecillon\Bureau\c.cecillon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.69.253/proxy-lyon.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.128.254:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = B2I.fr;cso-info.fr;viveris.lan;viveris.fr;viveris.com;172.16.0.0;192.168.0.0;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = B2i.fr
O17 - HKLM\Software\..\Telephony: DomainName = B2i.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = B2i.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = B2i.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = B2i.fr
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: FLEXlm Service 1 - Macrovision Corporation - C:\Program Files\PRQA\FLEXlm-9.5\lmgrd.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

truecode · Answer

Tu connais ce site B2i.fr ?

pitch069 · Answer

oui, c'est le site de l'entreprise ou je travail.

truecode · Answer

Donc c'est bon plus d'infection .
On va enlever les tools : 

    *  Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/  sur ton Bureau
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse


Puis tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/
Ensuite tu peux mettre résolu si tu n'a plus de problème et plus de questions

laurent · Answer

si ça peut vous intéresser
j'avais gammima sur ma clé USB mais à priori par sur mon PC. (XP)
j'ai donc essayé de sauvegarder mes données de la clé sur un DVD et pour ce faire j'ai utilisé mon logiciel de gravage Nero burning Rom 6 SE.
Quelle surprise lorsque j'ai développé mes fichiers de ma clés USB (G: pour moi)pour les glisser dans la fenêtre des fichiers à graver. J'y ai trouvé mes 2 fichiers infectés qui pourtant étaient introuvables et invirables de ma clé USB. Les 2 fichiers se nommaient "9gg....exe et Recycler.exe. si j'avais pas fait attention, je les aurai probablement gravé sur le DVD. Du coup je les ai seléctionnés et hop, supprimés. J'ai donc rien gravé et j'ai tout de suite refait une annalyse avec Norton de ma clé qui n'ai plus infectée. Seul petit Hic, il semble que pour l'ouvir désormais je doive faire clic droit et explorer, mais bon j'ai vaincu Gammima sur un petit coup de chance que je veux partager avec vous. 

Quand je vois tout le mal que certains se donnent...

Bonne nuit à tous