Virus qui ne veut pas partir

malade -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour à tous !

J'ai un petit problème de virus qui ne veut pas s'en aller avec SpyBot (avg le détecte même pas).

Je vous met un rapport hijackthis (Il s'appelle scanner.exe dans la liste des processus).

Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 10:35:17, on 03/05/2010  
Platform: Unknown Windows (WinNT 6.01.3504)  
MSIE: Internet Explorer v8.00 (8.00.7600.16385)  
Boot mode: Normal  

Running processes:  
C:\Windows\system32\taskhost.exe  
C:\Windows\system32\Dwm.exe  
C:\Windows\Explorer.EXE  
C:\Program Files\AVG\AVG9\avgtray.exe  
C:\Windows\System32\rundll32.exe  
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe  
C:\Program Files\Common Files\Java\Java Update\jusched.exe  
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe  
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe  
C:\Program Files\Hercules\WiFi Station pour Livebox\WiFiLB.exe  
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe  
C:\Program Files\Logitech\SetPointG\SetPointII.exe  
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE  
C:\Program Files\Mozilla Firefox\firefox.exe  
C:\Windows\system32\winver.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Windows\system32\SearchFilterHost.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
C:\Users\******\Desktop\scanner.exe  

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =   
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =   
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =   
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll  
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe  
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe  
O4 - HKLM\..\Run: [SPIRunE] Rundll32 SPIRunE.dll,RunDLLEntry  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"  
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"  
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"  
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"  
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"  
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun  
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming  
O4 - HKCU\..\Run: [Google Update] "C:\Users\******\AppData\Local\Google\Update\GoogleUpdate.exe" /c  
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winokv32.rom,UirClVUKqdP  
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')  
O4 - Global Startup: WiFi Station pour Livebox.lnk = C:\Program Files\Hercules\WiFi Station pour Livebox\WiFiLB.exe  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000  
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll  
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll  
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL  
O13 - Gopher Prefix:   
O15 - Trusted Zone: http://asia.msi.com.tw  
O15 - Trusted Zone: http://global.msi.com.tw  
O15 - Trusted Zone: http://www.msi.com.tw  
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab  
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (Ma-Config control) - http://www.ma-config.com/plugins/MaConfig_4_0_2_0.cab  
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll  
O20 - AppInit_DLLs: avgrsstx.dll  
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe  
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe  
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe  
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe  
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe  
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe  
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe  
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe  
O23 - Service: mental ray 3.7 Satellite for Autodesk 3ds Max 2010 32-bit 32-bit (mi-raysat_3dsmax2010_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2010\mentalray\satellite\raysat_3dsmax2010_32server.exe  
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)  
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe  
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe  
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe  
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe  
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe  

--  
End of file - 7298 bytes  



Spybot me disait que c'était virtumonde le virus, mais je ne suis pas sûr. C'est pourquoi je fais appelle à vous en espérant que vous puissiez m'aider !

(comme vous pourrez le constater, il y a plusieurs processus iexplorer.exe. Or, je n'ai pas ouvert de fenêtre internet explorer (j'utilise firefox normalement en plus...). Lors que je kill ces processus, ils reviennent automatiquement.

Les symptômes du virus sont : fenêtre intempestives

Bonne journée merci pour votre aide !

14 réponses

  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ah ya eu du ménage !

    Finalement faudrait que tu arrete de modifier les logs, car si je veux faire des scripts, et ba je peux pas... De plus en dirait qu'il manque l'entête du fichier et une partie du log Combofix.

    Si tu continue à masquer des infos je refuserai de t'aider.

    *Copier ceci:

    "C:\WINDOWS\system32\drivers\LNonPnP.sys"

    *Aller sur Virus Total
    * Cliquer sur "Choisir"
    *Coller dans "nom du fichier" et envoyer le fichier
    *Puis coller le rapport généré

    --------

    Refait un Combofix sans rien modifier.

    -------

    Telécharge sur le bureau Defogger

    = Double click sur Defogger
    = Une fenêtre apparait clique Disable
    = Redemarre ton PC si demandé

    --------

    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport
    1
    1. gen-hackman
       
      tu

      hello tu peux puisque tu connais son pseudo ^^
      0
    2. gen-hackman
       
      apres il modifie lui....
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Wé, mais pour les copier coller j'ai pas envie de tout réécrire voit tu ;)
      Et puis quand on vient chercher de l'aide on ne s'amuse pas à trafiquer les rapports, déjà que je trouve pas mal de trucs louches dans son PC, je suis à 2 doigts de laisser tomber moi.
      0
    4. gen-hackman
       
      te fais le script dans un notepad , apres onglet edition /remplacer

      ***********

      par

      le pseudo qu'on doit pas dire et le programmes qu'on doit pas voir ;))))))))
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui peut etre mais moi je m'en fout qu'on sache son pseudo, c'est par principe. Quand on demande de l'aide , on donne les infos ou on se débrouille seul. C'est comme ça
      0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Désinstalle Spybot

    Télécharger sur le bureau Malwarebyte's Anti-Malware

    = double-clic sur mbam-setup pour lancer l'installation
    = Installer simplement sans rien modifier
    = Ne pas décocher "Faire la mise à jour"
    = si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
    = Quand le programme lancé ==> cocher Exécuter un examen complet
    = Clic Rechercher
    = Eventuellement décocher les disque à ne pas analyser
    = Clic Lancer l'examen
    = En fin de scan ( 1h environ), si infection trouvée
    ==> Clic Afficher résultat
    = Fermer vos applications en cours
    = Vérifier si tout est coché et clic Supprimer la sélection

    un rapport s'ouvre le copier et le coller dans la réponse

    ---------

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    0
  3. malade
     
    Tout d'abord, merci pour la réponse :)

    J'ai fais tout ce que vous m'avez suggéré. Malheureusement, je ne peux plus uploader de fichiers (cijoint ou dl.free.fr). Les deux me disent que la page est temporairement indisponible.

    Résultat malwarebyte :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org
    
    Version de la base de données: 4060
    
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385
    
    03/05/2010 11:42:51
    mbam-log-2010-05-03 (11-42-51).txt
    
    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 275089
    Temps écoulé: 42 minute(s), 29 seconde(s)
    
    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4
    
    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire infecté(s):
    C:\Windows\System32\winokv32.rom (Backdoor.Bot) -> Delete on reboot.
    
    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.
    
    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssmsgs (Backdoor.Bot) -> Quarantined and deleted successfully.
    
    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    
    Fichier(s) infecté(s):
    C:\Users\***********\Desktop\Overclocking\CPU\Super_pi_MONO\super_pi_mod.exe (Malware.Packer.Krunchy) -> Not selected for removal.
    C:\Users\***********\Desktop\**********.exe (Trojan.Orsam) -> Quarantined and deleted successfully.
    C:\Program Files\libvlc.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Windows\System32\winokv32.rom (Backdoor.Bot) -> Delete on reboot.
    
    


    Résultat ZHPDiag :

    http://www.files-save.com/fr/download-672ac5a97e2345d95b55cc0f9b8f487e.html

    Merci pour votre aide !
    0
  4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    J'arrive pas à télécharger le fichier...
    fait ceci:

    Télécharge sur le bureau « RSIT »
    Double-clic dessus,
    (Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur.)
    Laisser « 1 month »,
    Cliquer sur « Continue ».
    Si l'outil « HijackThis » n'est pas présent sur le PC ou n'est pas détecté, RSIT le téléchargera (autoriser l'accès internet à RSIT si le pare-feu le demande).
    Accepter la licence de HijackThis.
    À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt ».
    Copier les rapports, les coller dans la réponse.
    Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt ».

    Tu peux aussi heberger le rapport ici: https://www.luanagames.com/index.fr.html

    EDIT: Tu as bien redémarré après malwarebytes?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. malade
     
    J'ai trouvé un moyen de le poster, je l'ai zippé.

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijLPnmKdg.zip

    Oui il m'a demandé de redémarrer donc j'ai accepté.

    EDIT : Je dois quand même faire le scan avec RSIT ?
    0
  7. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Pas besoin de faire RSIT.

    OU en sont tes symptômes?

    Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
    d'avoir été infectés

    Télécharger USBFix

    - Lancer USBFix.exe
    - Choisir F pour Français => Touche Entrée
    - Taper 1 => Entrée pour recherche
    - Puis ok
    - Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
    - laisser le nom par défaut, enregistrer sur le bureau
    - copier coller le contenu du fichier texte dans la fenetre de réponse

    -----------

    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Taper F pour mettre en français
    = Faire Scanner
    = En fin de scan donner le rapport
    0
    1. gen-hackman
       
      salut

      tigzy , pour l'avenir :

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijtGNX9zL.jpg

      c'est le "telecharger" du milieu , ensuite 30 s d'attente puis clic sur telecharger de nouveau ^^
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Yop! Euh c'est pour quel site?

      EDIT : C'est bon! :D
      0
  8. malade
     
    Concernant les symptômes, tout va bien ! Je n'ai plus les processus internet explorer.

    Voilà le rapport pour USBFIX (une clé usb + un DD externe).

    ############################## | UsbFix V6.111 |
    
    User : ************** (Administrateurs) # **************-PC
    Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 14:05:08 | 03/05/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com
    
    Intel(R) Core(TM)2 Quad  CPU   Q9550  @ 2.83GHz
    Microsoft Windows 7 Professionnel  (6.1.7600 32-bit) # 
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Disabled
    
    C:\ -> Disque fixe local # 465,75 Go (297,89 Go free) # NTFS
    D:\ -> Disque amovible # 29,87 Go (17,13 Go free) [KINGSTON] # FAT32
    E:\ -> Disque CD-ROM # 7,03 Go (0 Mo free) [GTA IV Disc 1] # UDF
    F:\ -> Disque fixe local # 931,51 Go (397,33 Go free) [LaCie] # NTFS
    G:\ -> Disque CD-ROM
    
    ################## | Elements infectieux |
    
    E:\autorun.inf  
    E:\autorun.exe  
    F:\autorun.inf  
    F:\._autorun.inf  
    
    ################## | Registre |
    
    
    ################## | Mountpoints2 |
    
    HKCU\..\..\Explorer\MountPoints2\{0b4cb063-1f06-11df-b379-806e6f6e6963}
    shell\AutoRun\command =E:\Autorun.exe 
    
    ################## | Vaccin |
    
    
    ################## | ! Fin du rapport # UsbFix V6.111 ! |
    


    Rapport Ad-remover :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 01/05/10 à 19:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 14:08:31 le 03/05/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows 7(TM) Professional  - X86
    Nom du PC: ***********-PC (MICRO-STAR INTERNATIONAL CO.,LTD MS-7516)
    Utilisateur actuel: ***********
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    .
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Users\***********\..\zcai5wss.default\prefs.js - browser.download.dir: C:\\Users\\***********\\Desktop
    C:\Users\***********\..\zcai5wss.default\prefs.js - browser.download.lastDir: C:\\Users\\***********\\Desktop
    C:\Users\***********\..\zcai5wss.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
    C:\Users\***********\..\zcai5wss.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    .
    .
    * Internet Explorer Version 8.0.7600.16385 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Show_ToolBar: yes
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 2060 Octet(s)
    .
    Fin à: 14:11:36, 03/05/2010
    .
    ============== E.O.F - SCAN[1] ==============
    
    


    Merci :)
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Repasse USBFix en mode Nettoyage (2)
      0
  9. malade
     
    C'est fait !

    Voilà le rapport :

    ############################## | UsbFix V6.111 | 
    
    User : *************** (Administrateurs) # ***************-PC 
    Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8 
    Start at: 14:25:43 | 03/05/2010 
    Website : http://pagesperso-orange.fr/NosTools/index.html 
    Contact : FindyKill.Contact@gmail.com 
    
    Intel(R) Core(TM)2 Quad  CPU   Q9550  @ 2.83GHz 
    Microsoft Windows 7 Professionnel  (6.1.7600 32-bit) #  
    Internet Explorer 8.0.7600.16385 
    Windows Firewall Status : Disabled 
    
    C:\ -> Disque fixe local # 465,75 Go (297,84 Go free) # NTFS 
    D:\ -> Disque amovible # 29,87 Go (17,13 Go free) [KINGSTON] # FAT32 
    E:\ -> Disque CD-ROM # 7,03 Go (0 Mo free) [GTA IV Disc 1] # UDF 
    F:\ -> Disque fixe local # 931,51 Go (397,33 Go free) [LaCie] # NTFS 
    G:\ -> Disque CD-ROM 
    
    ################## | Elements infectieux | 
    
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-3326706205-498126545-2249581649-1000  
    (!) Non supprimé ! E:\autorun.inf  
    (!) Non supprimé ! E:\autorun.exe  
    Supprimé ! F:\autorun.inf  
    Supprimé ! F:\._autorun.inf  
    Supprimé ! F:\$Recycle.Bin\S-1-5-21-313667914-771793374-2254484140-1000  
    Supprimé ! F:\$Recycle.Bin\S-1-5-21-3326706205-498126545-2249581649-1000  
    
    ################## | Registre | 
    
    
    ################## | Mountpoints2 | 
    
    Supprimé ! HKCU\...\Explorer\MountPoints2\{0b4cb063-1f06-11df-b379-806e6f6e6963}\Shell\AutoRun\Command   
    
    ################## | Listing des fichiers présent | 
    
    [03/05/2010 14:11|--a------|2184] C:\Ad-Report-SCAN[1].txt  
    [10/06/2009 23:42|--a------|24] C:\autoexec.bat  
    [14/07/2009 03:38|-rahs----|383562] C:\bootmgr  
    [21/02/2010 18:22|-rahs----|8192] C:\BOOTSECT.BAK  
    [10/06/2009 23:42|--a------|10] C:\config.sys  
    [?|?|?] C:\hiberfil.sys  
    [11/04/2010 13:28|-rahs----|0] C:\IO.SYS  
    [30/04/2010 20:07|--a------|0] C:\libSRTP_log.txt  
    [17/04/2010 20:59|--a------|11176] C:\LU4.log  
    [11/04/2010 13:28|-rahs----|0] C:\MSDOS.SYS  
    [?|?|?] C:\pagefile.sys  
    [03/05/2010 14:29|--a------|1906] C:\UsbFix.txt  
    [01/06/2009 19:10|-rahs----|10092] D:\ldlinux.sys  
    [01/04/2010 02:19|--a------|715958] D:\******.zip  
    [01/04/2010 02:57|--a------|492471] D:\images.zip  
    [21/02/2010 16:04|--a------|16409960] D:\spybotsd162.exe  
    [14/01/2010 15:58|--a------|34] D:\freewifi.txt  
    [08/11/2009 03:58|--a------|82126744] D:\avg-antivirus-free-edition_avg_antivirus_free_edition_9.0.698a1730_francais_10997.exe  
    [16/03/2010 23:38|--a------|10323144] D:\Everest Ultimate Edition 5.30.1900.rar  
    [01/05/2010 14:11|--a------|0] D:\********  
    [15/11/2009 01:06|--a------|233] D:\********************** 
    [02/07/2009 04:49|--a------|229] D:\********************** 
    [15/11/2009 00:37|--a------|10154880] D:\Everest Ultimate Edition 5.30.1900 Setup.exe  
    [15/11/2009 00:56|--a------|93483] D:\Everest Ultimate Edition 5.30.1900.jpg  
    [01/05/2010 14:34|--a------|1439435] D:\winrar_winrar_3.93_final_32_bits_francais_9632.exe  
    [02/05/2010 12:42|--a------|282] D:\******************** 
    [12/07/2008 21:49|--a------|370] D:\******************** 
    [15/11/2008 11:52|-ra------|161088] E:\Autorun.exe  
    [11/10/2008 19:03|-ra------|54] E:\Autorun.inf  
    [22/10/2009 19:57|--ahs----|29018] F:\.VolumeIcon.icns  
    [22/10/2009 19:57|--ahs----|25214] F:\.VolumeIcon.ico  
    [22/10/2009 19:57|--a------|126976] F:\LaCie.exe  
    [22/10/2009 19:57|--ah-----|393] F:\LaCie.ini  
    [16/03/2010 15:11|-ra------|528] F:\MediaID.bin  
    
    ################## | Vaccination | 
    
    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
    # F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).  
    
    ################## | Upload |  
    
    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_***************-PC.zip : https://www.ionos.fr/?affiliate_id=77097  
    Merci pour votre contribution .   
    
    ################## | ! Fin du rapport # UsbFix V6.111 ! | 
    
    


    Merci !
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu peux me refaire un log ZHP?
      0
  10. malade
     
    Oui bien sûr !

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijR6Oyu8B.zip

    Tout à l'air propre ?

    Merci ! :)
    0
  11. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    C'est propre.
    Au passage, pas très judicieux ****** comme nom de session...

    Télécharger sur le bureau

    ToolsCleaner2.exe
    = Sous vista , 7 => clic droit exécuter en tant qu'admin
    ---------------
    = CliC Recherche
    le scan finit
    = CliC Suppression
    = CliC Quitter
    = supprimer cet outil, son rapport qui est à C:\TCleaner.txt
    = supprimer les divers rapports du nettoyage, si encore présents , qui sont à C:\

    ---------

    Mettre le marqueur résolu
    0
  12. malade
     
    Merci pour tout :)

    Le nom de session n'est pas *****, c'est moi qui l'ai caché dans chaque rapport. Etant donné qu'il est très explicite, je trouvais préférable de le camoufler.

    Bonne fin de journée !
    0
    1. gen-hackman
       
      bof....
      0
    2. malade
       
      Très intelligent ça... Merci d'éditer ton message.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      ^^ C'est vrai que ça m'étonnait que windows autorise un nom pareil de session
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ouaip je l'ai vu en faisant un CTRL+F après ^^
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Le nom de session est pas très "explicite", j'ai déjà vu des nom de session avec "Nom + prénom" ça c'est explicite. Ou alors "papa" au moins là c'est marrant ^^
      0
  13. malade
     
    Pour le nom de session, j'ai de bonnes raisons de vouloir le garder caché mais je ne m'attarderai pas trop là-dessus, c'est totalement hors sujet. ^^

    Sinon le virus est toujours là ! :(

    Des fenêtres publicitaires ont refais leur apparition !

    Je viens de refaire un scan complet avec malwarebyte et il n'a rien trouvé de nouveau. J'ai même fais le scan sur mon disque dur externe et ma clé usb.
    0
  14. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    0
  15. malade
     
    Je viens d'exécuter combofix et je n'ai pas eu besoin de presser 1, il a tout fait tout seul ! ^^

    Voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijmMJgwTL.zip

    Par contre, je ne sais pas si c'est normal mais firefox m'a demandé à nouveau si je voulais en faire mon navigateur par défaut. Et l'icône de avg (dans la barre en bas à droite) a disparu. (je l'ai bien réactivé après que combofix ait fini son travail. :))

    Merci pour tout ! Est-ce que je dois poster autre chose pour savoir si il y a encore un virus ?
    0