Infection massive

Résolu/Fermé

iBenJ - 26 févr. 2010 à 15:22
ibenj - 28 févr. 2010 à 11:42

Bonjour,

En démarrant mon ordi ce matin, avast m'a détecté une 40aine de virus/malware. J'ai fait une restauration du système à un point datant de deux jours, sachant qu'hier j'avais installé un logiciel (ce qui doit être ma seule action potentiellement cause de mes problèmes). Avast ne me détecte plus de virus, par contre j'ai un processus qui se lance au démarrage à chaque fois avec un nom différent : c'est un nombre à 3 chiffres (306.exe 464.exe 255.exe etc...)
J'ai aussi un fichier insupprimable dans le dossier Temporary Internet Files : jonova.exe (http://188.155.165.82/jovana.exe).
Je copie colle les détections d'Avast, merci de votre aide par avance.

26/02/2010 13:22:52 BenJ 148 Sign of "JS:Prontexi-R [Trj]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\29UW3YQI\login[1].htm" file.
26/02/2010 13:22:51 BenJ 148 Sign of "JS:Prontexi-R [Trj]" has been found in "http://fjaap.info/cgi-bin/login.htm" file.
26/02/2010 13:19:02 BenJ 148 Sign of "JS:Pumsee [Trj]" has been found in "http://google.analytics.com.jklnznqvztu.info/kavs/KAV6.php" file.
26/02/2010 13:18:10 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\lvckap.sys" file.
26/02/2010 13:18:05 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\lbrtfdc.sys" file.
26/02/2010 13:18:02 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\LastGood\system32\drivers\ipinip.sys" file.
26/02/2010 13:17:39 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipinip.sys" file.
26/02/2010 13:17:36 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipfltdrv.sys" file.
26/02/2010 13:17:31 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ip6fw.sys" file.
26/02/2010 13:17:29 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\i2omgmt.sys" file.
26/02/2010 13:17:26 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hdaudio.sys" file.
26/02/2010 13:17:21 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Flpydisk.sys" file.
26/02/2010 13:17:17 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Fdc.sys" file.
26/02/2010 13:17:14 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\drmkaud.sys" file.
26/02/2010 13:17:10 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\dmusic.sys" file.
26/02/2010 13:17:07 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Changer.sys" file.
26/02/2010 13:17:03 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Cdaudio.sys" file.
26/02/2010 13:16:58 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ccdecode.sys" file.
26/02/2010 13:16:52 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\camdrv21.sys" file.
26/02/2010 13:16:48 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\tdkbvyq.exe" file.
26/02/2010 13:16:46 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\atmarpc.sys" file.
26/02/2010 13:16:43 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\wioxoup.exe" file.
26/02/2010 13:16:40 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\atmarpc.sys" file.
26/02/2010 13:16:37 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\GDEJKLMN\hyxrmxs[1].htm" file.
26/02/2010 13:16:35 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\asyncmac.sys" file.
26/02/2010 13:16:31 BenJ 148 Sign of "VBS:Malware-gen" has been found in "C:\WINDOWS\system32\fjhdyfhsn.bat" file.
26/02/2010 13:16:25 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\GDEJKLMN\mdyfelge[1].htm" file.
26/02/2010 13:16:21 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\asyncmac.sys" file.
26/02/2010 13:16:17 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\tdkbvyq.exe" file.
26/02/2010 13:16:12 BenJ 148 Sign of "Win32:Bredolab-CF [Trj]" has been found in "C:\WINDOWS\TEMP\~TM15.tmp" file.
26/02/2010 13:16:06 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\aec.sys" file.
26/02/2010 13:16:00 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\DOCUME~1\BenJ\LOCALS~1\Temp\wioxoup.exe" file.
26/02/2010 13:15:55 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\aec.sys" file.
26/02/2010 13:15:44 BenJ 148 Sign of "Win32:Agent-AJDG [Rtk]" has been found in "C:\WINDOWS\system32\drivers\4DW4R3.sys" file.
26/02/2010 13:15:32 BenJ 148 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\3BDAC63X\hyxrmxs[1].htm" file.
26/02/2010 13:15:06 BenJ 148 Sign of "Win32:Malware-gen" has been found in "C:\Documents and Settings\BenJ\Local Settings\Temporary Internet Files\Content.IE5\3BDAC63X\mdyfelge[1].htm" file.

A voir également:

Infection massive
Massive music quiz ne fonctionne plus - Forum Réseaux sociaux
Massive music quiz bug ✓ - Forum Réseaux sociaux
Massive Music quizz a t'il fermé - Forum Réseaux sociaux
Problèmes de connexion sur un jeu en ligne ✓ - Forum jeux en ligne
Générique dr house massive attack ✓ - Forum Musique / Radio / Clip

1 réponse

Réponse 1 / 1

Utilisateur anonyme
26 févr. 2010 à 15:24

Bonjour

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l’enregistrer sur ton bureau en asdehi (tout simplement pour que l’infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que… » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que… »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+

iBenJ
26 févr. 2010 à 15:49

Re-bonjour et merci pour votre rapidité,

Voilà le compte rendu de combofix :

ComboFix 10-02-25.02 - BenJ 26/02/2010 15:30:37.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2046.1582 [GMT 1:00]
Lancé depuis: c:\documents and settings\BenJ\Bureau\asdehi.exe
AV: avast! antivirus 4.8.1368 [VPS 100226-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\BenJ\Application Data\avdrn.dat
c:\documents and settings\BenJ\Application Data\wiaservg.log
c:\program files\Cheat Engine\dbk32.sys
c:\recycler\S-1-5-21-5266222796-1462315454-600878173-7014
c:\recycler\S-1-5-21-5741608909-2964597121-797281231-4775
c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871
c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871\Desktop.ini
c:\recycler\S-1-5-21-6813899295-2116108009-357126463-3871\nissan.exe
c:\windows\EventSystem.log
c:\windows\srchasst\nls302en.lex
c:\windows\system32\SCLabel.ocx
c:\windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
c:\windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-26 au 2010-02-26 ))))))))))))))))))))))))))))))))))))
.

2010-02-26 14:27 . 2010-02-26 14:29 -------- d-----w- C:\asdehi
2010-02-26 13:12 . 2010-02-26 13:12 -------- d-----w- c:\windows\system32\wbem\Repository
2010-02-25 12:57 . 2010-02-26 13:11 -------- d-----w- c:\program files\Meta Trader - Forex Place
2010-02-22 14:19 . 2010-02-22 14:20 -------- d-----w- c:\program files\Age of Empires II
2010-02-15 22:55 . 2010-02-15 22:55 -------- d-sh--w- c:\documents and settings\BenJ\IECompatCache
2010-02-15 18:33 . 2010-02-15 18:33 -------- d-----w- c:\documents and settings\All Users\Application Data\MSN6
2010-02-15 18:33 . 2010-02-15 18:33 -------- d-----w- c:\documents and settings\BenJ\Application Data\MSN6
2010-01-31 20:23 . 2010-01-31 20:23 -------- d-sh--w- c:\documents and settings\BenJ\PrivacIE
2010-01-28 02:00 . 2010-02-24 23:27 -------- d-----w- c:\windows\ie8updates

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 14:35 . 2009-10-19 16:07 -------- d-----w- c:\program files\Cheat Engine
2010-02-26 12:16 . 2010-02-26 12:15 12 ----a-w- c:\windows\system32\config\systemprofile\Application Data\pdytbs.dat
2010-02-25 19:55 . 2008-09-26 22:53 -------- d-----w- c:\program files\eMule
2010-02-21 15:15 . 2008-11-07 20:15 -------- d-----w- c:\program files\PokerStars
2010-02-15 22:43 . 2009-01-21 21:13 -------- d-----w- c:\documents and settings\BenJ\Application Data\dvdcss
2010-02-02 21:44 . 2009-12-02 22:00 79488 ----a-w- c:\documents and settings\BenJ\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-25 16:56 . 2010-01-25 16:56 -------- d---a-w- c:\documents and settings\All Users\Application Data\rkfree
2010-01-25 16:56 . 2010-01-25 16:56 -------- d-----w- c:\program files\rkfree
2010-01-25 15:54 . 2008-08-12 16:01 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2009-12-31 16:50 . 2002-08-30 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-22 08:14 . 2002-08-30 12:00 84964 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-22 08:14 . 2002-08-30 12:00 510980 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-21 19:07 . 2006-06-23 11:28 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 20:02 . 2010-02-26 13:24 164184 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cache\Personal_32_1036.dat
2009-12-17 20:02 . 2008-08-11 15:45 78175 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-17 07:41 . 2008-08-11 15:41 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2002-08-30 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:09 . 2002-08-29 11:42 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:09 . 2002-08-30 12:00 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2002-08-30 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-22 13508608]
"nwiz"="nwiz.exe" [2008-02-22 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-22 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" [2005-05-03 90112]
"AlcWzrd"="ALCWZRD.EXE" [2005-05-04 2805248]
"LogonStudio"="c:\program files\WinCustomize\LogonStudio\logonstudio.exe" [2002-09-03 987187]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"rkfree"="c:\program files\rkfree\rkfree.exe" [2010-01-25 71168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Acrobat.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Acrobat.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Acrobat.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^BenJ^Menu Démarrer^Programmes^Démarrage^Magic Holdem.lnk]
path=c:\documents and settings\BenJ\Menu Démarrer\Programmes\Démarrage\Magic Holdem.lnk
backup=c:\windows\pss\Magic Holdem.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2008-10-15 02:38 623992 ----a-w- c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2006-09-13 09:12 139264 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus SX200 Series]
2007-12-13 15:00 188928 ----a-w- c:\windows\system32\spool\drivers\w32x86\3\E_FATIEFE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-04-02 14:11 342312 ----a-w- c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
2007-03-06 15:48 488984 ----a-w- c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2007-03-06 15:58 1060376 ----a-w- c:\program files\Labtec\WebCam10\WebCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 15:44 3883856 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40 155648 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 14:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2009-04-08 10:38 251240 ----a-w- c:\program files\TomTom HOME 2\TomTomHOMERunner.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Age of Empires II\\aoe20a_crk.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12/08/2008 17:41 114768]
R1 Odptdi;Odptdi;c:\windows\system32\drivers\odptdi.sys [18/12/2008 01:34 31232]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/08/2008 17:41 20560]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [08/04/2009 11:38 92008]
R3 PhTVTune;Philips WDM TVTuner;c:\windows\system32\drivers\Silicon.sys [11/08/2008 17:34 22272]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [12/08/2008 11:25 223232]
.
Contenu du dossier 'Tâches planifiées'

2010-02-23 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
TCP: {51D4D5D3-350C-40D4-938A-A132DCFEB683} = 172.27.42.165
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\BenJ\Application Data\Mozilla\Firefox\Profiles\9wfu1j77.default\
FF - prefs.js: browser.startup.homepage - google.fr
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npornap.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-MagicHoldem - c:\program files\Magic Holdem\Uninstaller.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 15:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•Ñw*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3976)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
c:\documents and settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2010-02-26 15:46:59 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-26 14:46

Avant-CF: 27 716 804 608 octets libres
Après-CF: 27 725 094 912 octets libres

- - End Of File - - 60E4F01867761F7F4A31A80B70C964F5

Utilisateur anonyme > iBenJ
26 févr. 2010 à 16:21

Re

1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Télécharge et install UsbFix de C_XX
Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau.

# Choisi l option 1 (Recherche)

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d’utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte’s.

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

Poste les rapports au fur et à mesure;merci
@+

iBenJ > Utilisateur anonyme
26 févr. 2010 à 16:26

Merci encore ;)

Voilà pour USBfix, je lance le second maintenant.

############################## | UsbFix V6.097 |

User : BenJ (Administrateurs) # BENJAMIN
Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:23:17 | 26/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100226-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 111,78 Go (25,8 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\rkfree\rkfree.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Elements infectieux |

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.097 ! |

iBenJ > Utilisateur anonyme
26 févr. 2010 à 17:28

Et voilà pour malwarebytes :)

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/02/2010 17:23:50
mbam-log-2010-02-26 (17-23-50).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 218521
Temps écoulé: 55 minute(s), 30 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\Program Files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\32 Vegas Casino (Adware.21Nova) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rkfree (Keylogger.Logixoft) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\rkfree\rkfree.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-6813899295-2116108009-357126463-3871\nissan.exe.vir (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{579258E3-A678-41B7-9B4B-68455265C474}\RP537\A0151977.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\pss\ihaupd32.exeStartup (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\BenJ\Bureau\compét\rkfree_setup.exe (Keylogger.Logixoft) -> Quarantined and deleted successfully.

Utilisateur anonyme > iBenJ
26 févr. 2010 à 17:37

Re

1) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 (Suppression)

# Ton bureau disparaîtra et le pc redémarrera.

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

2)Vide la quarantaine de Malwaresbytes.

3)Je te propose de changer d'antivirus.
Télécharge : http://www.commentcamarche.net/telecharger/telechargement-55-antivir sur ton
bureau.
--> Installe Antivir et mets-le à jour.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration .

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.
Tutoriel sur AntiVir.
Pourquoi changer ? Avast-Antivir

Comment installer et utiliser AntiVir :
http://www.libellules.ch/tuto_antivir.php

Configuration de Antivir (Merci Nico) :

clic droit sur son icône dans la barre des taches et sélectionner Configurer Antivir.

Cocher la case : Mode Expert.

=> Cliquer sur Scanner dans le volet de gauche :

> Dans "Fichiers" sélectionner Tous les fichiers.

> Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" sélectionner Elevé.

> Dans "Autres réglages" cocher toutes les cases.

NE SURTOUT PAS OUBLIER LA RECHERCHE DES ROOTKIT QUI EST TRES IMPORTANTE !

=> Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment.

=> Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" :

> Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification ELEVE !

=> Dans le volet de gauche, dérouler "Guard" puis dérouler "Recherche" :

> Cocher "Heuristique de Macro Virus" et "Heuristique fichier Win32" avec degré d'identification ELEVE !

Désinstalle Avast avant installation d'Antivir;ensuite passe cet utilitaire pour supprimer les fichiers récalcitrants
Ici:https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3Flanguageid%3D4%26group%3Dfre%26_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D452

Poste les rapports au fur et à mesure;merci

@+

Discussions similaires

[Sujet groupé] massive boggle

massive boggle

connexion Massive Boggle

BOGGLE : les dés ???

Relocalisation massive de morceaux