Rapport Hijackthis Résolu

Question

Bonjour, je viens de faire un scan avec Hijackthis et j'aurai besoin d'aide pour le déchiffrer et savoir se que je doit faire.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:09:10, on 22/04/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Lexmark 2600 Series\ezprint.exe
D:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=1&o=vb32&d=1007&m=el1200
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=1&o=vb32&d=1007&m=el1200
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.acer-group.com/selection.html?b=ACEW&l=040c&s=1&o=vb32&d=1007&m=el1200
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\Connexion Internet Orange\SearchURLHook\SearchPageURL.dll (file missing)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.415.1646\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\eMachines\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Setresolution] C:\ACER\config\1366x768.cmd
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxdnmon.exe] "C:\Program Files\Lexmark 2600 Series\lxdnmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2600 Series\ezprint.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AttachConsoleA
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.1.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx1.hotmail.com/mail/w4/pr01/photouploadcontrol/VistaMSNPUpldfr-fr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E38947E4-A2A7-40BA-B57C-9BC41B63B78D}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\EMACHINES\eMachines Recovery Management\Service\ETService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\lxdnserv.exe
O23 - Service: lxdn_device -   - C:\Windows\system32\lxdncoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

booddha · Answer

Bonjour,

Infesté

==================  MalwareBytes =====================

Telecharger MalwareBytes (Qui peut être conserver)

* L'enregistrer sur le bureau
* Double cliquer sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "mise à jour", cliquer sur le bouton Recherche de mise à jour
* Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepter
* Une fois la mise à jour terminé
* Sélectionner l'onglet, Recherche
* Sélectionner Exécuter un examen rapide
* Cliquer sur Rechercher
* Le scan démarre.
* A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
* Cliquer sur Afficher les résultats pour afficher tous les objets trouvés.
* Cliquer sur Ok pour poursuivre.
* Si des malwares ont été détectés, cliquer sur Afficher les résultats
* Sélectionner tout (ou laisser cochés) et cliquer sur Supprimer la sélection.
* Malwarebytes va détruire les fichiers et clés de registre et en faire une copie dans la quarantaine.
* Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
* Sélectionner l'onglet rapport/log
* Une fois le rapport affiché
* Taper Ctrl A pour tout sélectionner
* Taper Ctrl C pour tout copier
* Revenir sur le forum et dans la prochaine réponse taper CTRL V pour tout coller.

Si besoin d'aide regarder ces tutoriels :
Aide
Autre aide

Abaddon76 · Answer

Ca ne marche pas le logiciel que tu m'a donné ne se lance pas il y a un message d'erreur :

MBAM_ERROR_EXPANDING_VARIABLES (0,9)

et

MBAM_ERROR_MISSING_FILE (3,0, mbamswissarmy.sys)

booddha · Answer

On va essayer ça

===================  AD-Remover ======================
* Télécharger AD-Remover sur le Bureau. (Merci à C_XX)

Miroir

/!\ Se Déconnecter d'internet et fermer toutes applications en cours /!\

Désactiver provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de l'antivirus et des Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-cliquer sur l'icône Ad-remover située sur le Bureau.
- Sur la page, cliquer sur le bouton « NETTOYER »
- Confirmer lancement du scan
- Laisser travailler l'outil.
- Poster le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Abaddon76 · Answer

Voici le rapport

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 21/04/10 à 13:40
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 12:44:14 le 22/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomeBasic Service Pack 2 - X86
Nom du PC: KILLER (eMachines EL1200)
Utilisateur actuel: Manu (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Users\Manu\AppData\Roaming\DesktopIcon

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\PopCap
.
(Orpheline) HKLM,Run - Setresolution - C:\ACER\config\1366x768.cmd (Fichier manquant)
(Orpheline) HKLM,Run - ORAHSSSessionManager - C:\Program Files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe (Fichier manquant)
(Orpheline) HKCU,Run - LosAlamos - C:\Windows\system32\sshnas21.dll (Fichier manquant)
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Users\Manu\..\84a9kn1j.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
.
.
* Internet Explorer Version 8.0.6001.18904 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
============== SUSPECT(S) ==============
.
C:\Users\Manu\Downloads\FM 2007\football_manager_2007_patch_v7.0.2_version_windows_multi-langues_32667.exe
.
========================================
.
C:\Users\Manu\AppData\Local\Temp: 2 Fichier(s), 5 Dossier(s)
C:\Windows	emp: 0 Fichier(s), 2 Dossier(s)
C:\Users\Manu\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
Temporary Internet Files: 2 Fichier(s), 20 Dossier(s)
.
C:\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Ad-Remover\Backup: 15 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2872 Octet(s)
.
Fin à: 12:47:50, 22/04/2010
.
============== E.O.F - CLEAN[1] ==============

booddha · Answer

OK, il a fait un peu de ménage.
Reboot ta machine et essaie de nouveau d'installer et d'exécuter malwaresbytes

Abaddon76 · Answer

Toujours les même messages

booddha · Answer

On va fouiller un peu plus en profondeur

============= ZHPDIAG =============
* Télécharger ZHPDIAG

* Suivre les instructions lors de l'installation, lancement automatiquement à la fin.
* Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
* Sauvegarder le rapport ici: cijoint et coller le lien dans la réponse

Abaddon76 · Answer

Voici :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijEHqwniD.txt

Abaddon76 · Answer

Tu ne vois pas ?

booddha · Answer

Si, si mais manger, pipi, clope etc...

On essaye ça

============= USB FIX =============

L'option 1 d'Usbfix permet de rechercher les infections présentes sur l'ordinateur ainsi que sur tous les disques amovibles que vous aurez préalablement branché sans les ouvrir.

    * Télécharger UsbFix (de El desaparecido & C_XX) sur le Bureau.
    * Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    * Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
    * Choisir l'option 1 (Recherche).
    * Laisser travailler l'outil.
    * Poster le rapport UsbFix.txt sur le forum si vous avez créé un sujet sur le forum Virus/Sécurité.
    * Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
	
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Abaddon76 · Answer

############################## | UsbFix V6.107 |

User : Manu (Administrateurs) # KILLER
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:07:32 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4850e
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 137,11 Go (66,05 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 140,98 Go (49,15 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM # 654,81 Mo (0 Mo free) [FM 2007] # CDFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 465,65 Go (150,05 Go free) # FAT32

################## | Elements infectieux |

F:\autorun.inf  
F:\autorun.exe  
I:\autorun.inf  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Handle]  
[HKCU\SOFTWARE\TOY5KNQ8OC]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{79a50b99-fd00-11de-91a6-001d72b6243a}
shell\ar32f301\command =E:\goodies\ar32f301.exe 
shell\AutoRun\command =E:\AOEINST.EXE /autorun
shell\directx\command =E:\DirectX\dxsetup.exe 
shell\dplay\command =E:\DirectX\dplay60a.exe 
shell\dxdiag\command =E:\DirectX\dxdiag.exe 
shell\dxinfo\command =E:\DirectX\dxinfo.exe 
shell\dxtest\command =E:\goodies\DirectX\dx5test.exe 
shell\dxtool\command =E:\goodies\DirectX\dxtool.exe 
shell\msinfo\command =E:\goodies\msinfo\msinfo32.exe 
shell\sampler\command =E:\Sampler\Sampler.exe 
shell\setup\command =E:\AOEINST.EXE /autorun
shell\zone\command =E:\sampler\demos\zone\zoneA501.exe 

HKCU\..\..\Explorer\MountPoints2\{ebf6356b-7737-11dc-96ce-806e6f6e6963}
shell\AutoRun\command =F:\autorun.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.107 ! |

booddha · Answer

OK, on passe à la phase 2, l'éradication ;)

UsbFix : Option 2

L'option 2 de Usbfix permet de nettoyer les infections trouvées

/!\ Avant de passer l'option 2, il est recommandé de demander conseil sur le forum Virus/Sécurité. /!\

    * Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    * Double-cliquer sur le programme UsbFix sur le Bureau.
    * Choisir l'option 2 (Suppression).
    * Le Bureau disparaîtra et le PC redémarrera.
    * Au redémarrage, UsbFix scannera le PC, laisser travailler l'outil.
    * Ensuite, poster le rapport usbFix.txt qui apparaîtra avec le Bureau si vous avez créé un sujet.
    * Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Abaddon76 · Answer

c'est extremement long c'est normal ?

Abaddon76 · Answer

Voici le rapport  A NOTER QUE LE LOGICIEL N'a PAS FINI IL EN EST A 90% MAIS SEMBLE BLOQUE :

############################## | UsbFix V6.107 |

User : Manu (Administrateurs) # KILLER
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:38:40 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4850e
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 137,11 Go (65,97 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 140,98 Go (49,15 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM # 654,81 Mo (0 Mo free) [FM 2007] # CDFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 465,65 Go (150,05 Go free) # FAT32

################## | Elements infectieux |

Supprimé ! C:\$Recycle.Bin\S-1-5-21-2046763086-2988357420-146790522-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3402674260-1528073645-2760829468-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3402674260-1528073645-2760829468-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-957388825-4026625574-79556735-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-3402674260-1528073645-2760829468-1000 
Supprimé ! D:\Recycler\S-1-5-21-2859391595-904573563-188648883-1006 
(!) Non supprimé ! F:\autorun.inf 
(!) Non supprimé ! F:\autorun.exe 
Supprimé ! I:\autorun.inf 

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]  
Supprimé ! [HKCU\SOFTWARE\TOY5KNQ8OC]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{79a50b99-fd00-11de-91a6-001d72b6243a}\Shell\ar32f301\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ebf6356b-7737-11dc-96ce-806e6f6e6963}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[22/04/2010 15:37|--a------|60071] C:\aaw7boot.log 
[22/04/2010 12:47|--a------|2998] C:\Ad-Report-CLEAN[1].txt 
[18/09/2006 23:43|--a------|24] C:\autoexec.bat 
[11/04/2009 08:36|-rahs----|333257] C:\bootmgr 
[15/12/2008 16:28|-ra-s----|8192] C:\BOOTSECT.BAK 
[10/10/2007 16:02|--a------|90] C:\cds.log 
[18/09/2006 23:43|--a------|10] C:\config.sys 
[15/12/2008 08:49|--a------|165] C:\Labelprint.log 
[?|?|?] C:\pagefile.sys 
[15/12/2008 08:32|--a------|426] C:\RHDSetup.log 
[22/04/2010 15:51|--a------|2331] C:\UsbFix.txt 
[26/09/2006 17:21|-r-------|2048] F:\00000001.TMP 
[26/09/2006 17:21|-r-------|317440] F:\00000002.TMP 
[26/09/2006 17:21|-r-------|46592] F:\DrvMgt.dll 
[26/09/2006 20:06|-r-------|389623] F:\Install FM2007 Mac.command 
[12/09/2006 18:08|-r-------|4608] F:\Readme_French.txt 
[12/09/2006 18:08|-r-------|4751] F:\Readme_Italian.txt 
[12/09/2006 18:08|-r-------|4630] F:\Readme_Portuguese.txt 
[12/09/2006 18:08|-r-------|4601] F:\Readme_Spanish.txt 
[26/09/2006 17:21|-r-------|163644] F:\SECDRV.SYS 
[26/09/2006 20:06|-r-------|49167680] F:\Setup FM2007 PC.exe 
[11/09/2006 17:12|-r-------|23040] F:\autorun.exe 
[11/09/2006 15:26|-r-------|27] F:\autorun.inf 
[26/09/2006 20:04|-r-------|13] F:\media.inf 
[26/09/2006 20:06|-r-------|505655761] F:\setup.jar 
[17/03/2007 14:45|--a------|12862] I:\de.ico 
[12/06/2009 01:37|--ahs----|3072] I:\Thumbs.db 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

booddha · Answer

Reboote et relance malwarebyte

Abaddon76 · Answer

toujours les mêmes messages d'erreur...

booddha · Answer

Refais la phase 1 de USBFix et poste le rapport sans oublier de brancher les les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Abaddon76 · Answer

############################## | UsbFix V6.107 |

User : Manu (Administrateurs) # KILLER
Update on 21/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 18:09:23 | 22/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4850e
Microsoft® Windows Vista(TM) Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 137,11 Go (65,64 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 140,98 Go (50,46 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM # 654,81 Mo (0 Mo free) [FM 2007] # CDFS
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 465,65 Go (165,2 Go free) # FAT32

################## | Elements infectieux |

F:\autorun.inf  
F:\autorun.exe  

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | ! Fin du rapport # UsbFix V6.107 ! |

booddha · Answer

Il reste ça qui est détecté mais pas éradiqué

F:\autorun.inf
F:\autorun.exe 

Refais la phase 2 d'usbfix sans oublier de Brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Abaddon76 · Answer

mais F: c'est mon lecteur CD/DVD et dedans il y a un jeu vidéo, si je retire le cd ça sera pareil ou non ?

booddha · Answer

C'est un jeu officiel ou cracké (dis moi la vérité)

Abaddon76 · Answer

c'est un officiel (pardon je n'avais pas vu que la réponse était sur la page 2)

booddha · Answer

Laisse le dans le lecteur et fais ceci

==================== VIRUS TOTAL ====================== 

Aller sur le site VIRUS TOTAL

	*	COPIER/COLLER dans le champ de saisie ce qui suit en gras

F:\autorun.inf

	*	Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

	*	Copier/Coller le rapport dans le prochain message.

Refais la même chose avec F:\autorun.exe

Abaddon76 · Answer

F:\autorun.inf

 Fichier autorun.inf reçu le 2010.04.23 12:32:55 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.04.23	-
AhnLab-V3	5.0.0.2	2010.04.23	-
AntiVir	8.2.1.220	2010.04.23	-
Antiy-AVL	2.0.3.7	2010.04.23	-
Authentium	5.2.0.5	2010.04.23	-
Avast	4.8.1351.0	2010.04.23	-
Avast5	5.0.332.0	2010.04.23	-
AVG	9.0.0.787	2010.04.23	-
BitDefender	7.2	2010.04.23	-
CAT-QuickHeal	10.00	2010.04.23	-
ClamAV	0.96.0.3-git	2010.04.23	-
Comodo	4669	2010.04.23	-
DrWeb	5.0.2.03300	2010.04.23	-
eSafe	7.0.17.0	2010.04.22	-
eTrust-Vet	35.2.7445	2010.04.23	-
F-Prot	4.5.1.85	2010.04.23	-
F-Secure	9.0.15370.0	2010.04.23	-
Fortinet	4.0.14.0	2010.04.21	-
GData	21	2010.04.23	-
Ikarus	T3.1.1.80.0	2010.04.23	-
Jiangmin	13.0.900	2010.04.23	-
Kaspersky	7.0.0.125	2010.04.23	-
McAfee	5.400.0.1158	2010.04.23	-
McAfee-GW-Edition	6.8.5	2010.04.23	-
Microsoft	1.5703	2010.04.23	-
NOD32	5052	2010.04.23	-
Norman	6.04.11	2010.04.23	-
nProtect	2010-04-23.01	2010.04.23	-
Panda	10.0.2.7	2010.04.22	-
PCTools	7.0.3.5	2010.04.23	-
Prevx	3.0	2010.04.23	-
Rising	22.44.04.03	2010.04.23	-
Sophos	4.53.0	2010.04.23	-
Sunbelt	6212	2010.04.23	-
Symantec	20091.2.0.41	2010.04.23	-
TheHacker	6.5.2.0.267	2010.04.22	-
TrendMicro	9.120.0.1004	2010.04.23	-
TrendMicro-HouseCall	9.120.0.1004	2010.04.23	-
VBA32	3.12.12.4	2010.04.23	-
ViRobot	2010.4.23.2291	2010.04.23	-
VirusBuster	5.0.27.0	2010.04.23	-
Information additionnelle
File size: 27 bytes
MD5...: ef6c878602bf9ed2ef4e3876efb1591a
SHA1..: 0b250516c66a024d67e09b09696332bc00948cf4
SHA256: 725f082bfccbf84b2766d8086971f5b34f782c4ae07628edd053e66d05f8915a
ssdeep: 3:It1qQuKuLAC:e1qQut0C
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
trid..: Autorun.inf file (91.6%)
Generic INI configuration (8.3%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
pdfid.: -

Abaddon76 · Answer

F:\autorun.exe

 Fichier autorun.exe reçu le 2010.04.23 12:34:58 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.04.23	-
AhnLab-V3	5.0.0.2	2010.04.23	-
AntiVir	8.2.1.220	2010.04.23	-
Antiy-AVL	2.0.3.7	2010.04.23	-
Authentium	5.2.0.5	2010.04.23	-
Avast	4.8.1351.0	2010.04.23	-
Avast5	5.0.332.0	2010.04.23	-
AVG	9.0.0.787	2010.04.23	-
BitDefender	7.2	2010.04.23	-
CAT-QuickHeal	10.00	2010.04.23	-
ClamAV	0.96.0.3-git	2010.04.23	-
Comodo	4669	2010.04.23	-
DrWeb	5.0.2.03300	2010.04.23	-
eSafe	7.0.17.0	2010.04.22	-
eTrust-Vet	35.2.7445	2010.04.23	-
F-Prot	4.5.1.85	2010.04.23	-
F-Secure	9.0.15370.0	2010.04.23	-
Fortinet	4.0.14.0	2010.04.21	-
GData	21	2010.04.23	-
Ikarus	T3.1.1.80.0	2010.04.23	-
Jiangmin	13.0.900	2010.04.23	-
Kaspersky	7.0.0.125	2010.04.23	-
McAfee	5.400.0.1158	2010.04.23	-
McAfee-GW-Edition	6.8.5	2010.04.23	-
Microsoft	1.5703	2010.04.23	-
NOD32	5052	2010.04.23	-
Norman	6.04.11	2010.04.23	-
nProtect	2010-04-23.01	2010.04.23	-
Panda	10.0.2.7	2010.04.22	-
PCTools	7.0.3.5	2010.04.23	-
Prevx	3.0	2010.04.23	-
Rising	22.44.04.03	2010.04.23	-
Sophos	4.53.0	2010.04.23	-
Sunbelt	6212	2010.04.23	-
Symantec	20091.2.0.41	2010.04.23	-
TheHacker	6.5.2.0.267	2010.04.22	-
TrendMicro	9.120.0.1004	2010.04.23	-
TrendMicro-HouseCall	9.120.0.1004	2010.04.23	-
VBA32	3.12.12.4	2010.04.23	-
ViRobot	2010.4.23.2291	2010.04.23	-
VirusBuster	5.0.27.0	2010.04.23	-
Information additionnelle
File size: 23040 bytes
MD5...: df1f630e5576ff91c6c84383bb4d0a7f
SHA1..: e539bfe07a65a0e81bed5fa62124a054e2487008
SHA256: 7fce62ee04dd650812af863948b51492e2b578e434932148854cc7bcd2a71416
ssdeep: 384:urtsEWKcSt7gEqDAHMGRRybi4B19zhPCvmlLJvKvJml:urttDOEqDTGmrB19
zhP+UBKsl
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1086
timedatestamp.....: 0x45057cf2 (Mon Sep 11 15:12:50 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3c68 0x3e00 6.50 6b180cad12de3f6ef2c6a3b18a239900
.rdata 0x5000 0x1248 0x1400 4.53 f15eeb6e148a13ac2ee679b9c3a332bd
.data 0x7000 0x838 0x400 2.12 49e61c6490c65c29a7d0359ca4b05c9f

( 2 imports )
> KERNEL32.dll: CreateMutexA, GetLastError, CloseHandle, WinExec, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, ExitProcess, GetProcAddress, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, HeapAlloc, VirtualAlloc, HeapReAlloc, RtlUnwind, InterlockedExchange, VirtualQuery, HeapSize, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo
> ADVAPI32.dll: RegOpenKeyExA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

booddha · Answer

Mes excuses j'ai eu un petit problème, je ne pouvais plus répondre sur le site.

Refais un ZHPDIAG

Abaddon76 · Answer

Voici :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijDlM7cbS.txt

booddha · Answer

Je ne vois plus rien dans ton rapport.

Tu as encore des soucis ? Sinon fais ceci pour créer un nouveau point de restauration

=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	*	Appliquer 
	*	patienter jusqu'à ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
	*	Appliquer 
	*	patienter que cela soit à nouveau sur "surveillance" puis Ok. 
	*	Redémarrer l'ordinateur..     
      
Pour désactiver et réactiver sur Vista
Pour désactiver et réactiver sur XP

Abaddon76 · Answer

Du coup Hijackthis ça sert à rien si on peut tout faire avec les logiciels que tu m'a indiqué ?

booddha · Answer

Disons que Hijacthis ne sert pas fondamentalement à réparer un PC mais plutôt à déterminer ce qui le pourri.
Ceci dit, il est un peu dépassé maintenant.

Tu ne m'as pas répondu si tu avais encore des soucis?

Abaddon76 · Answer

Non il n'y a plus rien visiblement les messages d'erreurs qui me pourrissaient ne sont plus là. Merci à toi pour ton aide précieuse

booddha · Answer

J'aimerais que tu retentes malwaresbytes en le retéléchargeant. STP

Abaddon76 · Answer

Toujours les mêmes messages !

booddha · Answer

Il semblerait que ce soit du aux dernières versions de MalwaresBytes.

Donc roule ;)

Abaddon76 · Answer

OK merci à toi en tout cas et bonne continuation !

Rapport Hijackthis - Page 2

Discussions similaires

Newsletters