Infection massive

Résolu
iBenJ -  
 ibenj -
Bonjour,

En démarrant mon ordi ce matin, avast m'a détecté une 40aine de virus/malware. J'ai fait une restauration du système à un point datant de deux jours, sachant qu'hier j'avais installé un logiciel (ce qui doit être ma seule action potentiellement cause de mes problèmes). Avast ne me détecte plus de virus, par contre j'ai un processus qui se lance au démarrage à chaque fois avec un nom différent : c'est un nombre à 3 chiffres (306.exe 464.exe 255.exe etc...)
J'ai aussi un fichier insupprimable dans le dossier Temporary Internet Files : jonova.exe (http://188.155.165.82/jovana.exe).
Je copie colle les détections d'Avast, merci de votre aide par avance.

26/02/2010 13:22:52 BenJ 148 Sign of "JS:Prontexi-R [Trj]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\29UW3YQI\login[1].htm" file.
26/02/2010 13:22:51 BenJ 148 Sign of "JS:Prontexi-R [Trj]" has been found in "http://fjaap.info/cgi-bin/login.htm" file.
26/02/2010 13:19:02 BenJ 148 Sign of "JS:Pumsee [Trj]" has been found in "http://google.analytics.com.jklnznqvztu.info/kavs/KAV6.php" file.
26/02/2010 13:18:10 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\lvckap.sys" file.
26/02/2010 13:18:05 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\lbrtfdc.sys" file.
26/02/2010 13:18:02 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\LastGood\system32\drivers\ipinip.sys" file.
26/02/2010 13:17:39 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipinip.sys" file.
26/02/2010 13:17:36 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipfltdrv.sys" file.
26/02/2010 13:17:31 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ip6fw.sys" file.
26/02/2010 13:17:29 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\i2omgmt.sys" file.
26/02/2010 13:17:26 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hdaudio.sys" file.
26/02/2010 13:17:21 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Flpydisk.sys" file.
26/02/2010 13:17:17 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Fdc.sys" file.
26/02/2010 13:17:14 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\drmkaud.sys" file.
26/02/2010 13:17:10 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\dmusic.sys" file.
26/02/2010 13:17:07 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Changer.sys" file.
26/02/2010 13:17:03 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Cdaudio.sys" file.
26/02/2010 13:16:58 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ccdecode.sys" file.
26/02/2010 13:16:52 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\camdrv21.sys" file.
26/02/2010 13:16:48 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\tdkbvyq.exe" file.
26/02/2010 13:16:46 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\atmarpc.sys" file.
26/02/2010 13:16:43 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\wioxoup.exe" file.
26/02/2010 13:16:40 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\atmarpc.sys" file.
26/02/2010 13:16:37 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\GDEJKLMN\hyxrmxs[1].htm" file.
26/02/2010 13:16:35 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\asyncmac.sys" file.
26/02/2010 13:16:31 BenJ 148 Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\system32\fjhdyfhsn.bat" file.
26/02/2010 13:16:25 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\GDEJKLMN\mdyfelge[1].htm" file.
26/02/2010 13:16:21 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\asyncmac.sys" file.
26/02/2010 13:16:17 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\tdkbvyq.exe" file.
26/02/2010 13:16:12 BenJ 148 Sign of "Win32:Bredolab-CF [Trj]" has been found in "C:\WINDOWS\TEMP\~TM15.tmp" file.
26/02/2010 13:16:06 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\aec.sys" file.
26/02/2010 13:16:00 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\wioxoup.exe" file.
26/02/2010 13:15:55 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\aec.sys" file.
26/02/2010 13:15:44 BenJ 148 Sign of "Win32:Agent-AJDG [Rtk]" has been found in "C:\WINDOWS\system32\drivers\4DW4R3.sys" file.
26/02/2010 13:15:32 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\3BDAC63X\hyxrmxs[1].htm" file.
26/02/2010 13:15:06 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\3BDAC63X\mdyfelge[1].htm" file.
Configuration: Windows XP / Firefox 3.6

1 réponse

  1. Utilisateur anonyme
     
    Bonjour

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l’enregistrer sur ton bureau en asdehi (tout simplement pour que l’infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que… » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que… »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
    1. iBenJ
       
      Re-bonjour et merci pour votre rapidité,

      Voilà le compte rendu de combofix :

      ComboFix 10-02-25.02 - BenJ 26/02/2010 15:30:37.1.1 - x86
      Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1582 [GMT 1:00]
      Lancé depuis: c:\documents and settings\BenJ\Bureau\asdehi.exe
      AV: avast! antivirus 4.8.1368 [VPS 100226-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\BenJ\Application Data\avdrn.dat
      c:\documents and settings\BenJ\Application Data\wiaservg.log
      c:\program files\Cheat Engine\dbk32.sys
      c:\recycler\S-1-5-21-5266222796-1462315454-600878173-7014
      c:\recycler\S-1-5-21-5741608909-2964597121-797281231-4775
      c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871
      c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871\Desktop.ini
      c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871\nissan.exe
      c:\windows\EventSystem.log
      c:\windows\srchasst\nls302en.lex
      c:\windows\system32\SCLabel.ocx
      c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
      c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-26 au 2010-02-26 ))))))))))))))))))))))))))))))))))))
      .

      2010-02-26 14:27 . 2010-02-26 14:29 -------- d-----w- C:\asdehi
      2010-02-26 13:12 . 2010-02-26 13:12 -------- d-----w- c:\windows\system32\wbem\Repository
      2010-02-25 12:57 . 2010-02-26 13:11 -------- d-----w- c:\program files\Meta Trader - Forex Place
      2010-02-22 14:19 . 2010-02-22 14:20 -------- d-----w- c:\program files\Age of Empires II
      2010-02-15 22:55 . 2010-02-15 22:55 -------- d-sh--w- c:\documents and settings\BenJ\IECompatCache
      2010-02-15 18:33 . 2010-02-15 18:33 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
      2010-02-15 18:33 . 2010-02-15 18:33 -------- d-----w- c:\documents and settings\BenJ\Application Data\MSN6
      2010-01-31 20:23 . 2010-01-31 20:23 -------- d-sh--w- c:\documents and settings\BenJ\PrivacIE
      2010-01-28 02:00 . 2010-02-24 23:27 -------- d-----w- c:\windows\ie8updates

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-02-26 14:35 . 2009-10-19 16:07 -------- d-----w- c:\program files\Cheat Engine
      2010-02-26 12:16 . 2010-02-26 12:15 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\pdytbs.dat
      2010-02-25 19:55 . 2008-09-26 22:53 -------- d-----w- c:\program files\eMule
      2010-02-21 15:15 . 2008-11-07 20:15 -------- d-----w- c:\program files\PokerStars
      2010-02-15 22:43 . 2009-01-21 21:13 -------- d-----w- c:\documents and settings\BenJ\Application Data\dvdcss
      2010-02-02 21:44 . 2009-12-02 22:00 79488 ----a-w- c:\documents and settings\BenJ\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
      2010-01-25 16:56 . 2010-01-25 16:56 -------- d---a-w- c:\documents and settings\All Users\Application Data\rkfree
      2010-01-25 16:56 . 2010-01-25 16:56 -------- d-----w- c:\program files\rkfree
      2010-01-25 15:54 . 2008-08-12 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
      2009-12-31 16:50 . 2002-08-30 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
      2009-12-22 08:14 . 2002-08-30 12:00 84964 ----a-w- c:\windows\system32\perfc00C.dat
      2009-12-22 08:14 . 2002-08-30 12:00 510980 ----a-w- c:\windows\system32\perfh00C.dat
      2009-12-21 19:07 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
      2009-12-17 20:02 . 2010-02-26 13:24 164184 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cache\Personal_32_1036.dat
      2009-12-17 20:02 . 2008-08-11 15:45 78175 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
      2009-12-17 07:41 . 2008-08-11 15:41 347648 ----a-w- c:\windows\system32\mspaint.exe
      2009-12-14 07:09 . 2002-08-30 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
      2009-12-09 10:09 . 2002-08-29 11:42 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
      2009-12-09 10:09 . 2002-08-30 12:00 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
      2009-12-04 18:22 . 2002-08-30 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 139264]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
      "nwiz"="nwiz.exe" [2008-02-22 1626112]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
      "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
      "SoundMan"="SOUNDMAN.EXE" [2005-05-03 90112]
      "AlcWzrd"="ALCWZRD.EXE" [2005-05-04 2805248]
      "LogonStudio"="c:\program files\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
      "rkfree"="c:\program files\rkfree\rkfree.exe" [2010-01-25 71168]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
      "UIHost"="c:\windows\system32\logonuiX.exe"

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
      backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk
      backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^BenJ^Menu Démarrer^Programmes^Démarrage^Magic Holdem.lnk]
      path=c:\documents and settings\BenJ\Menu Démarrer\Programmes\Démarrage\Magic Holdem.lnk
      backup=c:\windows\pss\Magic Holdem.lnkStartup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
      2008-10-15 02:38 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
      2006-09-13 09:12 139264 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX200 Series]
      2007-12-13 15:00 188928 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIEFE.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
      2009-04-02 14:11 342312 ----a-w- c:\program files\iTunes\iTunesHelper.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
      2007-03-06 15:48 488984 ----a-w- c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
      2007-03-06 15:58 1060376 ----a-w- c:\program files\Labtec\WebCam10\WebCam10.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
      2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      2006-01-12 14:40 155648 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      2009-01-05 14:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
      2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
      2009-04-08 10:38 251240 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=
      "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
      "c:\\Program Files\\iTunes\\iTunes.exe"=
      "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "c:\\Program Files\\Age of Empires II\\aoe20a_crk.exe"=

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/08/2008 17:41 114768]
      R1 Odptdi;Odptdi;c:\windows\system32\drivers\odptdi.sys [18/12/2008 01:34 31232]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/08/2008 17:41 20560]
      R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [08/04/2009 11:38 92008]
      R3 PhTVTune;Philips WDM TVTuner;c:\windows\system32\drivers\Silicon.sys [11/08/2008 17:34 22272]
      S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [12/08/2008 11:25 223232]
      .
      Contenu du dossier 'Tâches planifiées'

      2010-02-23 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
      .
      .
      ------- Examen supplémentaire -------
      .
      uDefault_Search_URL = hxxp://www.google.com/ie
      uInternet Settings,ProxyOverride = *.local
      uSearchAssistant = hxxp://www.google.com/ie
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
      IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      TCP: {51D4D5D3-350C-40D4-938A-A132DCFEB683} = 172.27.42.165
      DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
      DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
      FF - ProfilePath - c:\documents and settings\BenJ\Application Data\Mozilla\Firefox\Profiles\9wfu1j77.default\
      FF - prefs.js: browser.startup.homepage - google.fr
      FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\npornap.dll
      FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- PARAMETRES FIREFOX ----
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
      c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
      c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
      c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      AddRemove-MagicHoldem - c:\program files\Magic Holdem\Uninstaller.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-02-26 15:38
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- CLES DE REGISTRE BLOQUEES ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
      "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'explorer.exe'(3976)
      c:\windows\system32\eappprxy.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\windows\system32\RUNDLL32.EXE
      c:\windows\SOUNDMAN.EXE
      c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
      c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
      c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
      c:\program files\Java\jre6\bin\jqs.exe
      c:\windows\system32\nvsvc32.exe
      c:\program files\Alwil Software\Avast4\ashMaiSv.exe
      c:\program files\Alwil Software\Avast4\ashWebSv.exe
      c:\windows\System32\wbem\wmiapsrv.exe
      .
      **************************************************************************
      .
      Heure de fin: 2010-02-26 15:46:59 - La machine a redémarré
      ComboFix-quarantined-files.txt 2010-02-26 14:46

      Avant-CF: 27 716 804 608 octets libres
      Après-CF: 27 725 094 912 octets libres

      - - End Of File - - 60E4F01867761F7F4A31A80B70C964F5
      0
    2. Utilisateur anonyme > iBenJ
       
      Re

      1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



      Télécharge et install UsbFix de C_XX
      Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

      Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir


      # Double clic sur le raccourci UsbFix présent sur ton bureau.

      # Choisi l option 1 (Recherche)

      # Laisse travailler l outil.

      # Ensuite post le rapport UsbFix.txt qui apparaîtra.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


      2)Télécharge Malwaresbytes anti malware ici
      http://www.malwarebytes.org/mbam.php

      * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

      (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

      * Potasse le tuto pour te familiariser avec le prg :

      https://forum.pcastuces.com/sujet.asp?f=31&s=3

      (cela dis, il est très simple d’utilisation).

      relance Malwaresbytes en suivant scrupuleusement ces consignes :

      ! Déconnecte toi et ferme toutes applications en cours !

      * Lance Malwarebyte’s.

      Fais un examen dit "Complet"

      --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
      --> à la fin tu cliques sur "Afficher les résultats" " .
      --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

      Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


      Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


      Poste les rapports au fur et à mesure;merci
      @+
      0
    3. iBenJ > Utilisateur anonyme
       
      Merci encore ;)

      Voilà pour USBfix, je lance le second maintenant.


      ############################## | UsbFix V6.097 |

      User : BenJ (Administrateurs) # BENJAMIN
      Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
      Start at: 16:23:17 | 26/02/2010
      Website : http://pagesperso-orange.fr/NosTools/index.html
      Contact : FindyKill.Contact@gmail.com

      Intel(R) Pentium(R) M processor 1.73GHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : avast! antivirus 4.8.1368 [VPS 100226-0] 4.8.1368 [ Enabled | Updated ]

      C:\ -> Disque fixe local # 111,78 Go (25,8 Go free) # NTFS
      D:\ -> Disque CD-ROM

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\rkfree\rkfree.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
      C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Windows Live\Contacts\wlcomm.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Elements infectieux |


      ################## | Registre |

      [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

      ################## | Mountpoints2 |


      ################## | Vaccin |

      (!) Cet ordinateur n'est pas vacciné !

      ################## | ! Fin du rapport # UsbFix V6.097 ! |
      0
    4. iBenJ > Utilisateur anonyme
       
      Et voilà pour malwarebytes :)

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3796
      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      26/02/2010 17:23:50
      mbam-log-2010-02-26 (17-23-50).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 218521
      Temps écoulé: 55 minute(s), 30 second(s)

      Processus mémoire infecté(s): 1
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 5

      Processus mémoire infecté(s):
      C:\Program Files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Unloaded process successfully.

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rkfree (Keylogger.Logixoft) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Program Files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-6813899295-2116108009-357126463-3871\nissan.exe.vir (Worm.Autorun.B) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{579258E3-A678-41B7-9B4B-68455265C474}\RP537\A0151977.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\WINDOWS\pss\ihaupd32.exeStartup (Malware.Packer.Gen) -> Quarantined and deleted successfully.
      C:\Documents and Settings\BenJ\Bureau\compét\rkfree_setup.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
      0
    5. Utilisateur anonyme > iBenJ
       
      Re

      1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

      # Double clic sur le raccourci UsbFix présent sur ton bureau

      # choisi l option 2 (Suppression)

      # Ton bureau disparaîtra et le pc redémarrera.

      # Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

      # Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

      2)Vide la quarantaine de Malwaresbytes.

      3)Je te propose de changer d'antivirus.
      Télécharge : http://www.commentcamarche.net/telecharger/telechargement-55-antivir sur ton
      bureau.
      --> Installe Antivir et mets-le à jour.

      --> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

      --> Dans AntiVir, choisis Outils puis Configuration .

      --> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

      --> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.
      Tutoriel sur AntiVir.
      Pourquoi changer ? Avast-Antivir

      Comment installer et utiliser AntiVir :
      http://www.libellules.ch/tuto_antivir.php

      Configuration de Antivir (Merci Nico) :

      clic droit sur son icône dans la barre des taches et sélectionner Configurer Antivir.

      Cocher la case : Mode Expert.

      => Cliquer sur Scanner dans le volet de gauche :

      > Dans "Fichiers" sélectionner Tous les fichiers.

      > Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" sélectionner Elevé.

      > Dans "Autres réglages" cocher toutes les cases.

      NE SURTOUT PAS OUBLIER LA RECHERCHE DES ROOTKIT QUI EST TRES IMPORTANTE !

      => Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment.

      => Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" :

      > Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification ELEVE !

      => Dans le volet de gauche, dérouler "Guard" puis dérouler "Recherche" :

      > Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification ELEVE !

      Désinstalle Avast avant installation d'Antivir;ensuite passe cet utilitaire pour supprimer les fichiers récalcitrants
      Ici:https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3Flanguageid%3D4%26group%3Dfre%26_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D452

      Poste les rapports au fur et à mesure;merci

      @+
      0