Sujet Précédent Sujet Suivant

PC infecté par antivirus SOFT

Résolu/Fermé
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010 - 26 févr. 2010 à 18:16
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010 - 8 mars 2010 à 00:26
Bonjour,


Je suis infecté par Antivirus SOFT, il fait apparaitre un message d'erreur qui dit : " Application cannot be executed. The file wuauclt.exe is infected. Do you want to activate your antivirus software now? Je n'arrive pas a fermer l'application, ctrl alt suppr ne fonctionne pas!

J'ai vu sur le forum que des gens on réussi a s'en sortir grace a jfkprésident, est ce qu'il serai possible qu'il m'aide également!!! voila merci d'avance!
A voir également:

38 réponses

  • 1
  • 2
Réponse 1 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
26 févr. 2010 à 18:19
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.



Antivirus SOFT est un rogue, c'est à dire un faux logiciel de sécurité annonçant la présence de fausses infections pour te faire peur et te pousser à acheter une fausse protection (plus d'infos ici)... Ignore les fausses alertes du rogue, et ne l'achète surtout pas, je vais t'aider à t'en débarrasser.


Pour arrêter temporairement l'infection, utilise cet outil stp :

• Télécharge Rkill (de Grinler) sur ton Bureau.
• Désactive ton antivirus
• Double clique sur Rkill.exe pour le lancer
• Une fenêtre à fond noir va apparaître quelques instants et se refermer.


Puis fais immédiatement ce scan généraliste stp :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp


Si ça ne fonctionne pas, on essayera autrement ;)

0
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
26 févr. 2010 à 19:35
Merci pour ta prise en charge super rapide!

Ca aurait été trop facile pour que sa marche du premier coup, en effet j'ai un soucis , antivirus SOFT empêche l'éxécution de Malwarebytes' Anti-Malware. message d'erreur :" Application cannot be executed. The file mbam.exe is infected. Do you want to active your antivirus software now? et il bloque aussi Rkill et met même le message d'erreur!

Voila merci!
0
Réponse 2 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
27 févr. 2010 à 01:16
On va essayer autrement ;)


/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau. Je l'ai volontairement renommé pour contourner l'infection.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0
Réponse 3 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
27 févr. 2010 à 11:32
Voici mon rapport Combofix :

ComboFix 10-02-26.01 - Maison 27/02/2010 11:20:47.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.434 [GMT 1:00]
Lancé depuis: c:\documents and settings\Maison\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100226-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Maison\Local Settings\Application Data\orqlxu
c:\documents and settings\Maison\Local Settings\Application Data\orqlxu\ubbysftav.exe
c:\windows\system32\sstray.exe
c:\windows\system32\twain_32.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-27 au 2010-02-27 ))))))))))))))))))))))))))))))))))))
.

2010-02-26 18:23 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-26 18:23 . 2010-02-26 18:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-26 18:23 . 2010-02-26 18:23 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-26 18:23 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-26 16:44 . 2010-02-26 16:49 -------- d-----w- c:\program files\ZHPDiag
2010-02-26 16:35 . 2010-02-26 16:35 -------- d--h--w- c:\windows\PIF
2010-02-26 16:13 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-26 14:27 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-26 14:27 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-26 14:27 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-26 14:27 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-26 14:27 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-26 14:27 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-26 14:27 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-26 14:27 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2010-02-26 14:26 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-26 13:49 . 2010-02-26 14:26 -------- d-----w- c:\program files\Alwil Software
2010-02-26 13:49 . 2010-02-26 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 14:26 . 2010-01-03 14:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Western Digital
2010-01-03 14:25 . 2010-01-03 14:25 -------- d-----w- c:\program files\Western Digital
2009-12-31 16:50 . 2004-08-03 21:14 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-22 05:09 . 2004-08-03 22:54 671232 ----a-w- c:\windows\system32\wininet.dll
2009-12-22 05:08 . 2004-08-03 22:54 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 07:41 . 2007-12-30 18:51 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2004-08-03 22:54 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-11 12:26 . 2001-08-28 12:00 84526 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-11 12:26 . 2001-08-28 12:00 510324 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-09 10:09 . 2004-08-04 00:48 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:09 . 2004-08-03 22:49 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2004-08-03 21:15 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
1999-04-06 14:27 . 1999-04-06 14:27 99840 ----a-w- c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 04:53 . 1998-12-09 04:53 70144 ----a-w- c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 48640 ----a-w- c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 31744 ----a-w- c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 04:53 . 1998-12-09 04:53 186368 ----a-w- c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 04:53 . 1998-12-09 04:53 17920 ----a-w- c:\program files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-02-20 49152]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Maison\Menu D‚marrer\Programmes\D‚marrage\
Event Reminder.lnk - c:\pmw\PMREMIND.EXE [1997-11-3 254128]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Symantec Fax Starter Edition Port.lnk - c:\program files\Microsoft Office\Office\1036\OLFSNT40.EXE [1999-4-6 46080]
WDDMStatus.lnk - c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe [2009-9-4 2049344]
WDSmartWare.lnk - c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe [2009-9-4 8975680]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Epson Software\\Event Manager\\EEventManager.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/02/2010 15:27 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/02/2010 15:27 20560]
R2 WDDMService;WD SmartWare Drive Manager;c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [04/09/2009 15:22 98304]
S2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16/06/2009 09:58 20480]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [31/12/2003 11:35 18848]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [03/01/2010 15:26 11520]
.
Contenu du dossier 'Tâches planifiées'

2010-02-27 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-11 20:18]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = http=127.0.0.1:5555
uInternet Settings,ProxyOverride = <local>
TCP: {23B99684-ECFF-4A91-A3BE-014FE32D9839} = 212.27.53.252,212.27.54.252
FF - ProfilePath - c:\documents and settings\Maison\Application Data\Mozilla\Firefox\Profiles\7wkwsivf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-lekvpovi - c:\documents and settings\Maison\Local Settings\Application Data\orqlxu\ubbysftav.exe
HKLM-Run-nForce Tray Options - sstray.exe
HKLM-Run-lekvpovi - c:\documents and settings\Maison\Local Settings\Application Data\orqlxu\ubbysftav.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-27 11:27
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-02-27 11:30:02
ComboFix-quarantined-files.txt 2010-02-27 10:29

Avant-CF: 850 665 472 octets libres
Après-CF: 1 191 538 688 octets libres

- - End Of File - - 66E195F21BF8AA8ED8D12975C916937F
0
Réponse 4 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
27 févr. 2010 à 11:57
Au début du rapport il dit que la console de récuperation n'est pas installé, pourtant lorsqu'il m'a demander de l'installer j'ai accepté!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
27 févr. 2010 à 21:12
Ok ;)


Peux-tu maintenant utiliser ce logiciel de diagnostic stp :

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

0
Réponse 6 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
28 févr. 2010 à 13:35
Voila le lien : http://www.cijoint.fr/cjlink.php?file=cj201002/cijyRRocL6.txt
0
Réponse 7 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 févr. 2010 à 14:16
Est-ce que tu utilises un proxy ?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

0
Réponse 8 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
28 févr. 2010 à 14:50
Non je n'utilise pas de proxy!
0
Réponse 9 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 févr. 2010 à 15:14
D'accord, dans ce cas c'est sans doute l'infection qui a ajouté le proxy visible sur le rapport, on va l'enlever :

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle la ligne suivante et place la dans ZHPFix :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555


• Clique sur « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

0
Réponse 10 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
28 févr. 2010 à 15:49
voila le rapport

ZHPFix v1.12.306 by Nicolas Coolman - Rapport de suppression du 28/02/2010 15:49:14
Fichier d'export Registre : C:\ZHPExportRegistry-28-02-2010-15-49-14.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 1
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan
0
Réponse 11 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 févr. 2010 à 15:57
Parfait.
Maintenant réessaye d'utiliser MalwareBytes pour faire un scan de contrôle stp

0
Réponse 12 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
28 févr. 2010 à 16:32
Apparemment sa à l'air bon!

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3806
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28/02/2010 16:32:48
mbam-log-2010-02-28 (16-32-48).txt

Type de recherche: Examen rapide
Eléments examinés: 110818
Temps écoulé: 10 minute(s), 40 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 13 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 févr. 2010 à 16:54
Parfait :)
Pour pouvoir te donner les conseils de finition, j'ai besoin d'un dernier rapport :

• Télécharge hijackthis.
• Installe le, lance le et clique sur "Do a system scan and save a logfile".
• Fais un copier-coller du rapport entier sur le forum

0
Réponse 14 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
28 févr. 2010 à 17:21
voila le rapport "hijack this" :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:51, on 28/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O4 - Global Startup: WDDMStatus.lnk = C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O4 - Global Startup: WDSmartWare.lnk = C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{23B99684-ECFF-4A91-A3BE-014FE32D9839}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: WD SmartWare Drive Manager (WDDMService) - WDC - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD SmartWare Background Service (WDSmartWareBackgroundService) - Memeo - C:\Program Files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
0
Réponse 15 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 mars 2010 à 02:39
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Logiciels de protection :
* Ta version d'Avast est dépassée et moins efficace que les autres principaux antivirus gratuits (Antivir notamment). Tu dois désinstaller Avast puis choisir entre installer la version 5 de Avast ou installer un autre antivirus gratuit efficace : AntiVir.
* En complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité ! Tu dois le mettre à jour, même si tu ne l'utilises pas...
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes. Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8

• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).



2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles :

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Event Reminder.lnk = C:\pmw\PMREMIND.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t'aider



4) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



7) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0
Réponse 16 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
3 mars 2010 à 19:31
Ah je crois que je viens de rechopper un virus, mais sur mon ordinateur portable ce coup ci!!!

J'ai une fenetre "XP interney security Unregistred Version" qui s'ouvre, en gros c'est la meme chose que antivirus soft, il veut m'obliger à acheter une version payante!!!

Est ce que tu peu encore m'aider!
0
Réponse 17 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mars 2010 à 22:47
Encore ??? Il va falloir faire plus attention, je ne serai pas là à chaque fois pour désinfecter tes ordinateur ;)


• Télécharge CKScanner sur ton Bureau.
• Si l'ordinateur est sous Windows XP : double clique sur CKScanner.exe / Si l'ordinateur est sous Windows Vista ou Windows 7 : fais un clic-droit sur CKScanner.exe et choisis "Exécuter en temps qu'administrateur"
• Clique sur "Search For Files"
• Une fois la recherche terminée clique sur "Save List To File"
• Le rapport se trouve sur ton Bureau sous le nom de CKFiles.txt : héberge le sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


Ensuite, poste un rapport ZHPDiag stp.

0
Réponse 18 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
3 mars 2010 à 22:55
voici le lien de CK Scanner : http://www.cijoint.fr/cjlink.php?file=cj201003/cijpduwfTL.txt
0
Réponse 19 / 38
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
3 mars 2010 à 23:02
Voici le lien de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201003/cijbWHBd2E.txt
0
Réponse 20 / 38
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mars 2010 à 23:13
Je te conseille vivement de supprimer ceci : C:\program files\adobe\adobe premiere pro 2.0 crack.rar

Les cracks sont l'un des principaux vecteurs d'infections aujourd'hui... Plus d'infos ici

Il existe des équivalents gratuits (je ne sais pas s'ils sont bons) : https://www.commentcamarche.net/telecharger/tv-video/montage-edition/



Ensuite, on repart avec Combofix :


/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

0
Tribeqa Messages postés 26 Date d'inscription vendredi 26 février 2010 Statut Membre Dernière intervention 15 juillet 2010
3 mars 2010 à 23:50
voila mon rapport combofix :

ComboFix 10-03-03.03 - Olivier 03/03/2010 23:36:45.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.663 [GMT 1:00]
Lancé depuis: d:\emule\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100302-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Olivier\err.log
c:\documents and settings\Olivier\Local Settings\Application Data\av.exe
c:\documents and settings\Olivier\Local Settings\Temporary Internet Files\5B3a1y537.jpg
c:\documents and settings\Olivier\Local Settings\Temporary Internet Files\A16417.jpg
c:\documents and settings\Olivier\Local Settings\Temporary Internet Files\K7x7lbAXy.jpg
c:\documents and settings\Olivier\Local Settings\Temporary Internet Files\M8m0XLaa.jpg
c:\documents and settings\Olivier\ResErrors.log
c:\program files\Fichiers communs\WinAntiVirus Pro 2007
c:\program files\Fichiers communs\WinAntiVirus Pro 2007\err.log
c:\program files\Fichiers communs\winantivirus pro 2007\mfc71.dll
c:\program files\Fichiers communs\WinAntiVirus Pro 2007\msvcp71.dll
c:\program files\Fichiers communs\WinAntiVirus Pro 2007\msvcr71.dll
c:\windows\system32\dumphive.exe
c:\windows\system32\euzrhu.dat
c:\windows\system32\euzrhu_nav.dat
c:\windows\system32\euzrhu_navps.dat
c:\windows\system32\jfcvnnhu.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32\MSIMRT.DLL
c:\windows\system32\MSIMRT32.DLL
c:\windows\system32\MSIMUSIC.DLL
c:\windows\system32\nvs2.inf
c:\windows\system32\Process.exe
c:\windows\system32\SIntf16.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\stera.job
c:\windows\system32\stera.log
c:\windows\system32\Thumbs.db
c:\windows\system32\tmdnaynq.ini
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE
-------\Legacy_FOPN
-------\Legacy_MICROSOFT_GENUINE_ADVANTAGE


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-03 au 2010-03-03 ))))))))))))))))))))))))))))))))))))
.

2010-03-03 21:57 . 2010-03-03 21:57 -------- d-----w- c:\program files\ZHPDiag

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-03 22:41 . 2007-11-17 03:23 12 ----a-w- c:\windows\bthservsdp.dat
2010-01-05 09:56 . 2004-09-20 16:49 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:56 . 2004-09-20 16:48 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:56 . 2004-09-20 16:48 17408 ------w- c:\windows\system32\corpol.dll
2009-12-31 16:50 . 2004-09-20 16:48 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-17 07:41 . 2006-12-11 16:08 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:09 . 2004-09-20 16:48 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:09 . 2004-08-03 23:48 2068096 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:09 . 2004-09-20 16:48 2191232 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2004-09-20 16:48 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-11-21 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2009-11-21 18:26 2166296 ----a-w- c:\program files\free-downloads.net\tbfre1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-11-21 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-11-21 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 52\axcmd.exe" [2009-04-24 203416]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-08-28 102400]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 81920]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2005-11-02 180224]
"Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-12 987136]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-08-18 737369]
"RemoteControl"="c:\program files\ASUSTek\ASUSDVD\PDVDServ.exe" [2005-01-12 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-30 13594624]
"nwiz"="nwiz.exe" [2009-01-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-30 86016]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Olivier\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS ChkMail.lnk - c:\program files\Asus\Asus ChkMail\ChkMail.exe [2006-12-11 32768]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\EMULE.EXE"=
"c:\\WINDOWS\\System32\\dplaysvr.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Java\\JRE6\\BIN\\javaw.exe"=
"c:\\Program Files\\Java\\JRE6\\BIN\\java.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Dragon Age\\bin_ship\\daorigins.exe"=
"c:\\Program Files\\Dragon Age\\DAOriginsLauncher.exe"=
"c:\\Program Files\\Dragon Age\\bin_ship\\daupdatersvc.service.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowOutboundDestinationUnreachable"= 1 (0x1)
"AllowOutboundSourceQuench"= 1 (0x1)
"AllowOutboundTimeExceeded"= 1 (0x1)
"AllowRedirect"= 1 (0x1)

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [03/01/2007 15:06 691696]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [13/04/2008 13:30 114768]
R1 SSHDRV76;SSHDRV76;c:\windows\system32\drivers\SSHDRV76.sys [02/04/2009 17:57 53760]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [13/04/2008 13:30 20560]
R3 HSFHWSIS;HSFHWSIS;c:\windows\system32\drivers\HSFHWSIS.sys [22/06/2005 02:50 216320]
R3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [11/12/2006 17:18 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [11/12/2006 17:18 8278]
S3 DAUpdaterSvc;Dragon Age: Origins - Content Updater;c:\program files\Dragon Age\bin_ship\daupdatersvc.service.exe [22/11/2009 22:02 25832]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\drivers\fbxusb.sys [11/12/2002 15:25 18953]
S3 se57bus;Sony Ericsson Device 087 driver (WDM);c:\windows\system32\drivers\se57bus.sys [23/09/2009 21:34 61536]
S3 se57mdfl;Sony Ericsson Device 087 USB WMC Modem Filter;c:\windows\system32\drivers\se57mdfl.sys [23/09/2009 21:35 9360]
S3 se57mdm;Sony Ericsson Device 087 USB WMC Modem Driver;c:\windows\system32\drivers\se57mdm.sys [23/09/2009 21:35 97088]
S3 se57mgmt;Sony Ericsson Device 087 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\se57mgmt.sys [23/09/2009 21:45 88624]
S3 se57nd5;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (NDIS);c:\windows\system32\drivers\se57nd5.sys [23/09/2009 21:45 18704]
S3 se57obex;Sony Ericsson Device 087 USB WMC OBEX Interface;c:\windows\system32\drivers\se57obex.sys [23/09/2009 21:45 86432]
S3 se57unic;Sony Ericsson Device 087 USB Ethernet Emulation SEMC57 (WDM);c:\windows\system32\drivers\se57unic.sys [23/09/2009 21:45 90800]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\SynasUSB.sys [24/02/2008 13:28 18432]
S3 U46_01;Service for ESI U46MK2 Audio driver;c:\windows\system32\drivers\u46Wdm.sys [08/10/2009 19:31 20096]
S3 U46_AA;Service for MIXVIBES U46MK2 Controller driver;c:\windows\system32\drivers\u46drv.sys [08/10/2009 19:31 26496]
.
Contenu du dossier 'Tâches planifiées'

2010-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = 172.17.0.1:3128
TCP: {C5A21FA1-312B-4E74-A79D-3F97CCB2F11E} = 212.27.53.252,212.27.54.252
TCP: {E57ECDDC-1F38-49C9-B5A7-836EF9ECF5D4} = 212.27.32.5,213.228.0.168
FF - ProfilePath - c:\documents and settings\Olivier\Application Data\Mozilla\Firefox\Profiles\gzv6mvfy.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{017C230A-FC48-4FB6-9715-F3EB8D33C92D} - c:\windows\system32\mljge.dll
BHO-{E3A250C5-61B0-4F37-A03F-D93E97EC91F3} - c:\windows\system32\ddcyw.dll
BHO-{F77E357D-C1F7-4252-8157-5EF543B14537} - c:\windows\system32\jkhfe.dll
HKCU-Run-EA Core - d:\jeux\SPORE\EA download manager\EADM\Core.exe
HKLM-Run-Zshutdown - c:\sysprep\patch\sysprep.cmd
HKLM-Run-Easy Lock Pub - (no file)
AddRemove-DAEMON Tools Toolbar - c:\program files\DAEMON Tools Toolbar\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-03 23:43
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys atapi.sys spms.sys >>UNKNOWN [0x8398C938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf76c6f28
\Driver\ACPI -> ACPI.sys @ 0xf742dcb8
\Driver\atapi -> prosync1.sys @ 0xf7b68661
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
NDIS: Carte réseau ASUS 802.11g -> SendCompleteHandler -> NDIS.sys @ 0xf7310bb0
PacketIndicateHandler -> NDIS.sys @ 0xf731da21
SendHandler -> NDIS.sys @ 0xf72fb87b
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-920930463-2801683968-1868856869-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-920930463-2801683968-1868856869-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:46,bb,2c,d7,e1,30,fb,73,aa,11,3d,9d,c6,cd,b0,67,dd,66,37,ca,a5,79,cf,
7e,27,bc,6e,ff,86,4d,02,f1,55,fe,b0,d9,d6,cb,c3,97,66,6f,c6,d7,40,38,6e,c3,\
"??"=hex:0c,de,0b,4a,28,ea,03,46,c7,9b,88,32,d5,3c,87,d3

[HKEY_USERS\S-1-5-21-920930463-2801683968-1868856869-1005\Software\SecuROM\License information*]
"datasecu"=hex:5b,55,90,9c,e5,dc,24,49,b9,b0,63,6c,ba,c6,28,43,bf,1b,02,97,d7,
09,b3,9c,22,c7,e1,79,85,d3,4e,0d,ac,dc,eb,a3,04,05,00,7a,05,04,ae,83,df,af,\
"rkeysecu"=hex:e4,e6,2f,54,17,a8,18,4e,48,f9,b8,f6,fb,1c,d6,44

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2268)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-03-03 23:47:58 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-03 22:47

Avant-CF: 15 819 177 984 octets libres
Après-CF: 18 033 311 744 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 7E89B64352829C7CB05AC2FCF0B67E86
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
RBmoon -

18 réponses