Xwetia.exe virus ? Dossier windows disparu

Question

Bonjour,  

Tout d'abord une petite introduction historique lol : 

Il y a qques jours le notebook de ma copine a été victime d'une infection virale. Antivir me détectait au moins dix fois d'affilée un virus appelé sshnas21.dll. 
J'ai donc effectué un scan avec Malwarebytes qui a réussi à m'en virer plus d'une dizaine. A la suite de ça antivir me laissait tranquille. Mais aujourd hui : 

1er problème : ma copine a constaté que des pubs s'ouvraient via Internet Eplorer (Bien qu'elle soit sur Firefox...) 
2ème problème il arrive fréquemment qu'un écran bleu apparaisse (Kernell_data_inpage error [...] début du vidage de la mémoire physique) 
En lisant sur internet j'ai lu qu'il fallait peut être défragmenter la mémoire, ce que j'ai fait mais à présent je pense qu'il ne s'agit pas de ça mais plutôt d'un virus. 
En regardant dans le gestionnaire de taches, il y a un processus qui attire mon attention quant à la mémoire qu'il occupe, et j'ai constaté qu'en fermant une de ces pubs indésirables, un de ces multiples processus se ferme aussi. 
Il s'agit de "Xwetia.exe" qui est localisé dans Windows. J'ai donc essayé d'aller dans Windows pour le virer et là !!!!!!! 
3ème problème : le dossier Windows a disparu !!! Donc ça devient un peu inquiétant là lol. 


Merci de me donner conseil, ça serait cool.

gen-hackman · Accepted Answer

salut :

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

crapaudo · Answer

Elle a instaler un truc eorezo

MRphotoshop · Answer

Merci de ta réponse rapide crapaudo mais je ne m'y connais pas, qu'est ce que j dois faire ?

crapaudo · Answer

probleme 1 : Il me faus un exemble de pub l URL

Proble 2 : Tu fais CTRL+ALT+SUppr et tu va dans gestionaire des taches puis processeur et tu cherche Xwetia.exe puis clik droit suprimer ou arreter
PB 3 tu va dans le dossier parent click droit sur le dd puis afficher les fichier cacher et systeme

MRphotoshop · Answer

Prob 1 : J'essaierai ça dès qu'une pub s'affichera. Mais ça ne ressemblait pas à un truc genre oerezo.

Prob 2 : J'ai bien fait ça, mais ça l'empêche pas de revenir, j'ai aucune envie qu'il reste dans l'ordinateur. Et si je ne peu pas aller dans Windows, j peux pas le virer moi-même.

Prob 3 : les fichiers et dossiers cachés sont bien affichés. Je l'ai fait à partir du panneau de configuration. Mais pas de dossier Windows truc de dingue !

MRphotoshop · Answer

Bon j'étais en train de refaire un scan MBAM et bim !!!! Ecran bleu encore !!! Ca commence vraiment à m'inquiéter cette histoire là.
J'ai besoin d'aide là sérieux svp.

MRphotoshop · Answer

ok merci j'y croyais plus...

Y'a pas eu de clé USB branchée mais un téléphone portable elle me dit...

Donc je fais ça et jte tiens au courant.

gen-hackman · Answer

tu as un parefeu d'installé hormis celui de windows ?

MRphotoshop · Answer

oh tu gères avec ton outil USBfix, je connaissais pas !!!

non, pas d'autre pare feu. Voilà le rapport :


############################## | UsbFix V6.104 |

User : missss (Administrateurs) # MAEVAE
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:07:34 | 16/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 39,07 Go (20,88 Go free) [OS_Install] # NTFS
D:\ -> Disque fixe local # 31,55 Go (31,46 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 14,56 Mo (0,52 Mo free) # FAT
G:\ -> Disque amovible

################## | Elements infectieux |

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job  
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job  
C:\WINDOWS\System32\sshnas21.dll  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\a.dat  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\Xfp.exe  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\Xfq.exe  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\Xfr.exe  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\372202.exe  
C:\DOCUME~1\MAEVAE~1\LOCALS~1\Temp\5107821.exe  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\XML]  
[HKCU\SOFTWARE\YVIBBBHA8C]  
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"  
[HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Services\SSHNAS]  
[HKLM\SYSTEM\ControlSet003\Services\SSHNAS]  
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SSHNAS]  
[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{69f9bc98-c3d6-11dd-a598-001d92c8ef0c}
Shell\AutoRun\command =E:\fooool.exe 
Shell\explore\Command =E:\fooool.exe 
Shell\open\Command =E:\fooool.exe 

HKCU\..\..\Explorer\MountPoints2\{754140f2-a37a-11dd-a556-001d92c57ad9}
Shell\AutoRun\command =E:\fooool.exe 
Shell\explore\Command =E:\fooool.exe 
Shell\open\Command =E:\fooool.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.104 ! |

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

MRphotoshop · Answer

ok j vais faire tout ça. Désolé je me suis absenté. Enfant à l'école lol.
Au fait il s'est passé un truc pas mal pendant mon absence, quelle coïncidence !
Antivir s'est mis à jour et comme par hasard les deux processus que je soupçonnais (à savoir Xwentia.exe et xfr.exe sont maintenant détéctés par Antivir. Je l'aimais déjà bien cet antivirus mais j'ai eu droit à une preuve en direct de la bonne réactivité des mecs d'Antivir. Je tiens au courant de la suite des évènements,

merci encore gen-hackman, sérieux !

MRphotoshop · Answer

J'ai entamé ta procédure. En même temps Antivir me détectait plein de nouveaux virus (3 ou 4) qui revenaient sans cesse. Soit je supprimais soit je refusais l'accès. Puis le PC a redémarré, un scan s'est mis en route. Il est toujours en cours mais à 90% il stagne. Et il y a toujours des pubs qui s'ouvrent. Je patiente...

gen-hackman · Answer

oui

MRphotoshop · Answer

Voilà le rapport :

############################## | UsbFix V6.104 |

User : missss (Administrateurs) # missss
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:45:39 | 16/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 39,07 Go (20,83 Go free) [OS_Install] # NTFS
D:\ -> Disque fixe local # 31,55 Go (31,46 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 14,56 Mo (0,52 Mo free) # FAT
G:\ -> Disque amovible

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 
Supprimé ! C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\WINDOWS\System32\sshnas21.dll 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\a.dat 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\Xfp.exe 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\Xfq.exe 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\Xfr.exe 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\372202.exe 
Supprimé ! C:\DOCUME~1\missss~1\LOCALS~1\Temp\5107821.exe 
Supprimé ! C:\Recycler\S-1-5-21-2888934849-598440590-3491618853-1005 
Supprimé ! C:\Recycler\S-1-5-21-2888934849-598440590-3491618853-500 
Supprimé ! D:\Recycler\S-1-5-21-2888934849-598440590-3491618853-1005 
Supprimé ! D:\Recycler\S-1-5-21-2888934849-598440590-3491618853-500 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKCU\SOFTWARE\YVIBBBHA8C]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "YVIBBBHA8C"  
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS]  
Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\SSHNAS]  
Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
Supprimé ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SSHNAS]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{69f9bc98-c3d6-11dd-a598-001d92c8ef0c}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{754140f2-a37a-11dd-a556-001d92c57ad9}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[03/01/2005 02:00|--a------|0] C:\AUTOEXEC.BAT 
[15/04/2010 20:05|--ahs----|331] C:\boot.ini 
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin 
[03/01/2005 02:00|--a------|0] C:\CONFIG.SYS 
[03/01/2005 02:00|-rahs----|0] C:\IO.SYS 
[03/01/2005 02:00|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 14:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[16/04/2010 16:50|--a------|2959] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_missss.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.104 ! |

MRphotoshop · Answer

Xwetia.exe est toujours actif dans le gestionnaire de taches. Je renouvelle l'opération ???

gen-hackman · Answer

non 

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

MRphotoshop · Answer

lol ça gère ce site, franchement c'est bien ce que vous faites les gars. J suis en train de suiv... meeeeerde !!! Ecran bleu à l'instant !!!! grrrrrrr 

(je ne modifie rien à ce post) 

Bon je recommence !!!

MRphotoshop · Answer

En fait j'ai compris que j'avais empêché USBfix de supprimer les infections en les supprimant avec Antivir pendant le scan d'USBfix. J'ai renouvelé l'opération mais cette fois-ci sans le devancer et je n'ai plus de traces de pub on dirait, et plus de traces de Xwetia.exe non plus. Par contre toujours cette histoire d'écran bleu régulier. J'étais en train de refaire un scan avec OTL et encore ce putain d'écran bleu ça commence à me rendre ouf.
Je dois faire le scan OTL en mode sans échec tu crois ?

MRphotoshop · Answer

bon l'affaire est résolue concernant Xwetia.exe, merci à gen-hackman

pour l'écran bleu bah j vais faire un autre post.

Ca fait trois fois qu'il me laisse pas faire le scan avec OTL, à chaque fois cet écran bleu, j suis en train d'essayer en mode sans échec, on verra bien.

gen-hackman · Answer

hello essaie en mode sans echec oui

MRphotoshop · Answer

ok si t'es encore dispo fais-moi signe et jte tiens au courant ici je viens de revenir.

gen-hackman · Answer

ok

MRphotoshop · Answer

ça y est t'as le lien en message, par contre y'a pas d'"extra"... Sinon suite au redémarrage après le sans échec ==> série de tentatives d'intrusion, détectées par Antivir. J'ai fait "refuser l'accès" (se souvenir) pour tous. Pami eux, le fameux Xwetia.exe qui voulait revenir !
Il me rend dingue celui-là. Mais le bon côté, apparemment pas de signe de pubs, et le dossier Windows qui est revenu.

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

MRphotoshop · Answer

ok. Désolé j galère un peu pour fermer le processus de mon antivirus. J'ai essayé à partir de "services.msc", du gestionnaire de taches etc mais rien à faire. Je jette un coup d'oeil sur le net et si t'es déjà parti j patienterai jusqu'à demain si t'es là, c'est pas grave.

MRphotoshop · Answer

oulaaa apparemment y'a pas moyen de désactiver Antivir sans le désinstaller. Tant pis je vais lancer combofix comme ça. Antivir se ferme oui, mais il y a toujours le processus en fond. Ca commence à stresser toutes ces galères !!! En plus en désactivant antivir j'ai subi un genre d'attaque sur le net, en 1 seconde y'a plein de boites de dialogue qui se sont ouvertes et j'ai vu un nombre genre 520 etc...
pfffffff. Pu;;;n de mer.....

gen-hackman · Answer

non lance combofix en mode sans echec avec prise en charge reseau

MRphotoshop · Answer

okay je viens de revenir gen. 
J vais faire ça j'espère que t'es là... 
(au fait même en mode sans échec il m'avertit quand même qu'il détecte mon antivir guard), je l'ai fait hier. Je recommence pour le rapport. En tout cas le PC a l'air déjà plus sain y'a pas photo. je refais...

@+

gen-hackman · Answer

je suis là mais je m'absente invitation à un barbec !!! :S

je repasse plus tard lire ce rapport

passe outre l avertissement pour l antivirus , il n'est pas actif dans ce mode,c'est un defaut de combofix

MRphotoshop · Answer

mdr moi aussi barbeuk, mais à la maison hmmmm je me suis blindé le ventre!!! 
Maintenant je suis d'attaque lol j'ai lancé le scan. 
@+ gen jte posterai le rapport

gen-hackman · Answer

ok retour ^^ ^^ ^^

barbeuk.......très cuit on dira....oui...très cuit.....lol ^^

on a oublié  quelques trucs sur le feu...^^....bref....je crois que toi aussi ^^

et bref...j'attends donc le rapport !!

MRphotoshop · Answer

Et... Bon appétit biensuuuuur !!! lol


pfff laisse tomber il m'a encore fait un écran bleu pendant le scan lol, c'était l'écran bleu de trop, il m'a soulé. Je lâche l'affaire, car avec tes procédures tous les virus ont été éradiqués t'as assuré gen. Le pc a l'air sain, plus de pubs et plus d'alertes antivir. Y'a toujours ce problème d'écran bleu quand le processeur est trop sollicité (genre scan antivirus). Il ne me reste plus qu'à te demander si tu penses que ça craint ou pas à ton avis. Ou bien si j peux laisser comme ça. C'est un notebook qui sert le plus souvent à surfer sur internet et regarder des vidéos rien de plus.

je reviens en fin d'après midi normalement, @ plus et bonne journée.

gen-hackman · Answer

ok salut regarde si tu n'as pas ceci quand meme : C:\Combofix.txt

MRphotoshop · Answer

salut gen ça roule ? 

Voilà le rapport combofix : 

ComboFix 10-04-17.02 - m 18/04/2010   6:03.3.2 - x86 NETWORK 
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1013.738 [GMT 2:00] 
Lancé depuis: c:\documents and settings\m\Bureau\entretien PC\bibabou.exe 
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} 
. 

(((((((((((((((((((((((((((((   Fichiers créés du 2010-03-18 au 2010-04-18  )))))))))))))))))))))))))))))))))))) 
. 

2010-04-17 14:48 . 2010-04-17 14:55 -------- d-----w- c:\windows\system32\Adobe 
2010-04-16 20:31 . 2010-04-16 20:32 -------- d-----w- c:\program files\Unlocker 
2010-04-16 14:07 . 2010-04-16 21:11 -------- d-----w- C:\UsbFix 
2010-04-15 17:44 . 2010-04-15 17:44 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes 
2010-04-14 23:54 . 2010-04-14 23:54 -------- d-----w- c:\documents and settings\m\Application Data\Malwarebytes 
2010-04-14 23:53 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 
2010-04-14 23:53 . 2010-04-14 23:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 
2010-04-14 23:53 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 
2010-04-14 23:53 . 2010-04-14 23:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 
2010-04-14 23:39 . 2010-04-16 12:32 -------- d-----w- C:\zaza 
2010-04-14 01:12 . 2010-04-15 01:40 -------- d-----w- c:\program files\Portrait Professional Studio 9 
2010-04-13 14:31 . 2010-04-13 14:34 -------- d-----w- c:\documents and settings\m\Application Data\PhotoFiltre 
2010-04-13 14:31 . 2010-04-13 14:31 -------- d-----w- c:\program files\PhotoFiltre 
2010-03-19 21:58 . 2010-03-19 21:58 -------- d-----w- c:\program files\Bullfrog 
2010-03-19 21:57 . 2010-03-19 21:57 -------- d-----w- c:\documents and settings\m\Application Data\Ulead Systems 
2010-03-19 08:30 . 2010-04-15 01:43 -------- d-----w- c:\program files\Arena 

. 
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2010-04-15 18:06 . 2005-01-03 07:39 81824 ----a-w- c:\windows\system32\perfc00C.dat 
2010-04-15 18:06 . 2005-01-03 07:39 503894 ----a-w- c:\windows\system32\perfh00C.dat 
2010-04-15 15:58 . 2010-03-18 23:18 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 
2010-04-03 19:42 . 2009-11-04 18:40 -------- d-----w- c:\documents and settings\m\Application Data\vlc 
2010-03-30 20:39 . 2010-01-30 09:42 -------- d-----w- c:\documents and settings\m\Application Data\dvdcss 
2010-03-26 23:43 . 2010-03-19 00:30 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{A87EB928-0C6C-4071-AEF1-59E32BAEDF1B} 
2010-03-19 21:57 . 2005-01-03 01:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Ulead Systems 
2010-03-19 11:31 . 2010-03-10 22:07 -------- d-----w- c:\program files\Theme Hospital (jeu) 
2010-03-19 11:27 . 2008-09-29 17:24 70040 ----a-w- c:\documents and settings\m\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 
2010-03-19 00:30 . 2010-03-19 00:30 -------- d-----w- c:\documents and settings\m\Application Data\Stardock 
2010-03-19 00:11 . 2005-01-03 04:35 -------- d-----w- c:\program files\Activation Assistant for the 2007 Microsoft Office suites 
2010-03-19 00:03 . 2010-03-19 00:03 -------- d-----w- c:\program files\Revo Uninstaller 
2010-03-18 23:54 . 2010-03-18 23:54 -------- d-----w- c:\program files\EVEREST Home Edition 
2010-03-18 23:27 . 2010-03-18 23:18 -------- d-----w- c:\program files\Your Uninstaller 2008 
2010-03-18 23:18 . 2010-03-18 23:18 -------- d-----w- c:\documents and settings\m\Application Data\URSoft 
2010-03-18 22:12 . 2010-03-18 22:12 603904 ----a-w- c:\windows\system32\TUProgSt.exe 
2010-03-18 22:12 . 2010-03-18 22:12 360192 ----a-w- c:\windows\system32\TuneUpDefragService.exe 
2010-03-18 22:12 . 2010-03-18 22:12 -------- d-----w- c:\documents and settings\m\Application Data\TuneUp Software 
2010-03-18 22:12 . 2010-03-18 22:11 -------- d-----w- c:\program files\TuneUp Utilities 2009 
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software 
2010-03-18 22:11 . 2010-03-18 22:11 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357} 
2010-03-11 01:14 . 2005-01-03 04:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help 
2010-03-10 22:04 . 2010-03-10 21:53 -------- d-----w- c:\documents and settings\m\Application Data\DAEMON Tools Lite 
2010-03-10 21:53 . 2010-03-10 21:53 -------- d-----w- c:\program files\DAEMON Tools Lite 
2010-03-10 21:53 . 2010-03-10 21:53 691696 ----a-w- c:\windows\system32\drivers\sptd.sys 
2010-03-10 21:53 . 2010-03-10 21:52 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 
2010-02-12 10:03 . 2010-03-04 21:51 293376 ------w- c:\windows\system32\browserchoice.exe 
. 

(((((((((((((((((((((((((((((   SnapShot@2010-04-16_20.57.36   ))))))))))))))))))))))))))))))))))))))))) 
. 
+ 2010-01-12 05:54 . 2010-01-12 05:54 98304              c:\windows\system32\Macromed\Shockwave 10\SwOnce.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 86016              c:\windows\system32\Macromed\Shockwave 10\SwMenuX.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 77824              c:\windows\system32\Macromed\Shockwave 10\SwInit.exe 
+ 2010-01-12 05:54 . 2010-01-12 05:54 24576              c:\windows\system32\Macromed\Shockwave 10\DynaPlayer.dll 
+ 2010-04-17 14:48 . 2010-04-17 14:48 87716              c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe 
+ 2010-04-01 12:46 . 2010-04-01 12:46 94208              c:\windows\system32\Adobe\Shockwave 11\SwMenu.dll 
+ 2010-04-01 12:09 . 2010-04-01 12:09 79488              c:\windows\system32\Adobe\Shockwave 11\gtapi.dll 
+ 2010-04-01 13:01 . 2010-04-01 13:01 65816              c:\windows\system32\Adobe\Director\SWDNLD.EXE 
+ 2010-04-01 12:48 . 2010-04-01 12:48 9216              c:\windows\system32\Adobe\Shockwave 11\DynaPlayer.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 136568              c:\windows\system32\Macromed\Shockwave 10\SYMCCHECKER.DLL 
+ 2010-01-12 05:54 . 2010-01-12 05:54 180224              c:\windows\system32\Macromed\Shockwave 10\Proj.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 475136              c:\windows\system32\Macromed\Shockwave 10\PluginPing.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 339968              c:\windows\system32\Macromed\Shockwave 10\Plugin.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 606208              c:\windows\system32\Macromed\Shockwave 10\iml32X.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 753152              c:\windows\system32\Macromed\Shockwave 10\gi.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 471040              c:\windows\system32\Macromed\Shockwave 10\Control.dll 
+ 2010-04-01 12:09 . 2010-04-01 12:09 136568              c:\windows\system32\Adobe\Shockwave 11\SYMCCHECKER.DLL 
+ 2010-04-01 12:46 . 2010-04-01 12:46 114688              c:\windows\system32\Adobe\Shockwave 11\SwInit.exe 
+ 2010-04-01 12:59 . 2010-04-01 12:59 459032              c:\windows\system32\Adobe\Shockwave 11\SwHelper_1156606.exe 
+ 2010-04-01 12:49 . 2010-04-01 12:49 446464              c:\windows\system32\Adobe\Shockwave 11\Proj.dll 
+ 2010-04-01 12:47 . 2010-04-01 12:47 372736              c:\windows\system32\Adobe\Shockwave 11\Plugin.dll 
+ 2010-04-01 12:09 . 2010-04-01 12:09 753152              c:\windows\system32\Adobe\Shockwave 11\gi.dll 
+ 2010-04-01 12:46 . 2010-04-01 12:46 503808              c:\windows\system32\Adobe\Shockwave 11\Control.dll 
+ 2010-04-01 13:00 . 2010-04-01 13:00 213272              c:\windows\system32\Adobe\Director\SwDir.dll 
+ 2010-04-01 12:48 . 2010-04-01 12:48 131072              c:\windows\system32\Adobe\Director
p32dsw.dll 
+ 2010-01-12 05:54 . 2010-01-12 05:54 1490944              c:\windows\system32\Macromed\Shockwave 10\dirapiX.dll 
+ 2010-04-01 12:20 . 2010-04-01 12:20 1011712              c:\windows\system32\Adobe\Shockwave 11\iml32.dll 
+ 2010-04-01 12:09 . 2010-04-01 12:09 1975408              c:\windows\system32\Adobe\Shockwave 11\gt.exe 
+ 2010-04-01 12:25 . 2010-04-01 12:25 1798144              c:\windows\system32\Adobe\Shockwave 11\dirapi.dll 
. 
(((((((((((((((((((((((((((((((((   Points de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés  
REGEDIT4 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 16862208] 
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-11 1028096] 
"ITSecMng"="c:\program files\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe" [2007-09-28 75136] 
"MGSysCtrl"="c:\program files\System Control Manager\MGSysCtrl.exe" [2008-06-10 782336] 
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] 
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872] 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] 

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ 
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2008-2-22 2938184] 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] 
"HonorAutoRunSetting"= 0 (0x0) 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] 
"HonorAutoRunSetting"= 0 (0x0) 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-] 
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-] 
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
"HotKeysCmds"=c:\windows\system32\hkcmd.exe 
"IgfxTray"=c:\windows\system32\igfxtray.exe 
"Persistence"=c:\windows\system32\igfxpers.exe 
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= 
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= 
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= 
"c:\Program Files\VideoLAN\VLC\vlc.exe"= 

R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [03/01/2005 07:51 156160] 
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10/03/2010 23:53 691696] 
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [10/09/2009 11:55 108289] 
S2 Micro Star SCM;Micro Star SCM;c:\program files\System Control Manager\MSIService.exe [03/01/2005 08:39 159744] 
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [15/04/2010 01:53 38224] 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs 
UxTuneUp 
. 
Contenu du dossier 'Tâches planifiées' 

2010-04-18 c:\windows\Tasks\Maintenance en 1 clic.job 
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 14:04] 
. 
. 
------- Examen supplémentaire ------- 
. 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 
FF - ProfilePath - c:\documents and settings\m\Application Data\Mozilla\Firefox\Profiles\dnplwf09.default\ 
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search 
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ 
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll 
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll 
FF - plugin: c:\program files\Mozilla Firefox\plugins
pzylomgamesplayer.dll 
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ 

---- PARAMETRES FIREFOX ---- 
FF - user.js: yahoo.homepage.dontask - true 
FF - user.js: network.http.max-persistent-connections-per-server - 4 
FF - user.js: nglayout.initialpaint.delay - 600 
FF - user.js: content.notify.interval - 600000 
FF - user.js: content.max.tokenizing.time - 1800000 
FF - user.js: content.switch.threshold - 600000 
FF - user.js: ui.submenuDelay - 65000 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false); 
. 

************************************************************************** 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2010-04-18 06:08 
Windows 5.1.2600 Service Pack 3 NTFS 

Recherche de processus cachés ...  

Recherche d'éléments en démarrage automatique cachés ...  

Recherche de fichiers cachés ...  

Scan terminé avec succès 
Fichiers cachés: 0 

************************************************************************** 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 

- - - - - - - > 'explorer.exe'(332) 
c:\windows\system32\eappprxy.dll 
. 
Heure de fin: 2010-04-18  06:10:57 
ComboFix-quarantined-files.txt  2010-04-18 04:10 
ComboFix2.txt  2010-04-16 21:31 
ComboFix3.txt  2010-04-16 20:59 

Avant-CF: 22 313 025 536 octets libres 
Après-CF: 22 975 201 280 octets libres 

- - End Of File - - E6B5C4EFAF7DA56BEEB29ED3AD5D602B 




petite précision : zaza.exe c'est hijackthis renommé ainsi que bibabou.exe. ^^

gen-hackman · Answer

et ca ? :

C:\zaza

MRphotoshop · Answer

oui zaza aussi c'est hijack

gen-hackman · Answer

tu l'as mis partout ?

MRphotoshop · Answer

non dans la racine du disque dur, mais en fait j'ai renommé et le dossier et le programme

MRphotoshop · Answer

alors docteur c propre ?

Xwetia.exe virus ? Dossier windows disparu

39 réponses

Votre réponse

Newsletters