Suite de desktop security 2010 Résolu/Fermé

Question

Bien le bonjour à tout le monde, 

J'ai chopé Desktop security 2010 il y a quelques temps. J'ai réussi à l'éliminer sans trop de problème en suivant les conseils donnés à d'autres victimes sur ce forum. 

Depuis mon pc est d'une lenteur exacerbante. Tout fonctionne au ralenti. Puis un autre problème est apparu: je ne peux plus lire mes vidéos ou ma musique (codecs inactif) et j'ai des problèmes de connexion wifi... 

Et depuis 1 heure il y a un virus Trojan.Gen que l'antivirus ne peux se séparer... 

Quelqu'un pourrait-il m'aider? 

Merci d'avance 



Configuration: Windows XP / Firefox 3.0.6

Destrio5 · Answer

Bonjour,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Gillangelo · Answer

Tout d'abord merci de ton aide, voici le rapport ComboFix 10-06-08.02 - Gillou 09/06/2010 0:44.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.634 [GMT 2:00] Lancé depuis: c:\documents and settings\Gillou\Mes documents\Téléchargements\ComboFix.exe AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83} FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8} * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system\oeminfo.ini . ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-08 au 2010-06-08 )))))))))))))))))))))))))))))))))))) . 2010-06-05 15:41 . 2010-06-05 15:41 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Help 2010-05-27 16:09 . 2010-05-27 16:09 503808 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\msvcp71.dll 2010-05-27 16:09 . 2010-05-27 16:09 499712 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\jmc.dll 2010-05-27 16:09 . 2010-05-27 16:09 348160 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\msvcr71.dll 2010-05-27 16:09 . 2010-05-27 16:09 61440 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2ba4af9a-n\decora-sse.dll 2010-05-27 16:09 . 2010-05-27 16:09 12800 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2ba4af9a-n\decora-d3d.dll 2010-05-16 16:16 . 2010-05-29 16:16 439816 ----a-w- c:\documents and settings\Gillou\Application Data\Real\Update\setup3.10\setup.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-08 21:21 . 2009-05-24 09:57 -------- d-----w- c:\program files\Safari 2010-06-05 22:19 . 2010-03-07 22:27 -------- d-----w- c:\program files\Microsoft Silverlight 2010-05-16 20:34 . 2008-03-10 16:27 -------- d-----w- c:\documents and settings\Gillou\Application Data\dvdcss 2010-05-11 20:37 . 2005-09-01 05:53 66738 ----a-w- c:\windows\system32\perfc00C.dat 2010-05-11 20:37 . 2005-09-01 05:53 451592 ----a-w- c:\windows\system32\perfh00C.dat 2010-05-03 19:54 . 2010-05-03 18:27 -------- d-----w- c:\program files\ZHPDiag 2010-05-03 19:43 . 2010-05-03 19:07 -------- d-----w- c:\program files\List_Kill'em 2010-05-03 18:20 . 2010-05-03 18:20 -------- d-----w- c:\documents and settings\Gillou\Application Data\Uniblue 2010-05-03 18:13 . 2010-05-03 18:13 -------- d-----w- c:\documents and settings\Gillou\Application Data\Malwarebytes 2010-05-03 17:03 . 2010-05-03 17:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-05-03 17:03 . 2010-05-03 17:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-05-02 13:19 . 2010-05-02 13:19 -------- d-----w- c:\program files\Enigma Software Group 2010-05-02 13:17 . 2010-05-02 13:17 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard 2010-04-29 13:39 . 2010-05-03 17:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 13:39 . 2010-05-03 17:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-25 20:38 . 2010-04-05 23:26 -------- d-----w- c:\program files\DOSBox-0.72 2010-04-24 14:59 . 2010-04-24 14:59 503808 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\msvcp71.dll 2010-04-24 14:59 . 2010-04-24 14:59 499712 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\jmc.dll 2010-04-24 14:59 . 2010-04-24 14:59 348160 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\msvcr71.dll 2010-04-24 14:59 . 2010-04-24 14:59 61440 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1d18f0b2-n\decora-sse.dll 2010-04-24 14:59 . 2010-04-24 14:59 12800 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1d18f0b2-n\decora-d3d.dll 2010-04-24 14:58 . 2006-03-06 21:32 -------- d-----w- c:\program files\Fichiers communs\Java 2010-04-24 14:57 . 2006-03-06 21:32 -------- d-----w- c:\program files\Java 2010-04-12 15:29 . 2010-04-24 14:58 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-03-28 21:15 . 2006-03-17 22:17 52904 -c--a-w- c:\documents and settings\Gillou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-03-11 12:34 . 2004-08-10 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2010-03-11 12:34 . 2004-08-10 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-03-11 12:34 . 2004-08-10 12:00 17408 ------w- c:\windows\system32\corpol.dll 2004-08-10 12:00 . 2006-10-03 15:10 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe 2006-04-13 18:29 . 2006-03-17 22:17 104 -csha-r- c:\windows\system32\CDCAD24666.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392] "Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "Dell QuickSet"="c:\program files\Dell\QuickSet\Quickset.exe" [2005-09-01 684032] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-29 90112] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-03-18 180269] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472] "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040] "AdobeServices1.0100"="c:\program files\adobe\acrobat 6.0 eader\plug_ins\picturetasks\ols\acrobatservices.exe" [2010-05-01 153600] "AcrobatUpdate"="c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe" [2010-05-01 153600] "ServicesAdobe"="c:\program files\adobe\acrobat 6.0 eader\plug_ins\picturetasks\ols\acrobatservices.exe" [2010-05-01 153600] "QuickTimeResourcesQuickTime"="c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe" [2010-05-01 153600] "QuickTimeQuickTimeResources"="c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe" [2010-05-01 153600] "UpdateReader"="c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe" [2010-05-01 153600] "MobileMeUILocalizedMobileMeUILocalized"="c:\program files\fichiers communs\apple\mobile device support\bin\mobilemeui.resources\pl.lproj\mobilemeuilocalizedmobileme1301.exe" [2010-05-01 153600] "QuickTimeQuickTime7.6"="c:\program files\quicktime\pictureviewer.resources\ja.lproj\pictureviewerquicktime.exe" [2010-05-01 153600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Gillou\Menu D'marrer\Programmes\D'marrage\ Outil de notification Live Search.lnk - c:\documents and settings\Gillou\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-4-11 143360] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-22 45056] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-3-6 24576] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] 2004-09-07 16:08 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\EA Games\Command & Conquer The First Decade\Command & Conquer(tm) Generals Zero Hour\game.dat"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\StubInstaller.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "12115:TCP"= 12115:TCP:NortonAV "18606:TCP"= 18606:TCP:NortonAV "15381:TCP"= 15381:TCP:NortonAV "13547:TCP"= 13547:TCP:NortonAV "16608:TCP"= 16608:TCP:NortonAV "13934:TCP"= 13934:TCP:NortonAV "18260:TCP"= 18260:TCP:NortonAV "14054:TCP"= 14054:TCP:NortonAV "14918:TCP"= 14918:TCP:NortonAV "12297:TCP"= 12297:TCP:NortonAV "13568:TCP"= 13568:TCP:NortonAV "14293:TCP"= 14293:TCP:NortonAV "18976:TCP"= 18976:TCP:NortonAV "13101:TCP"= 13101:TCP:NortonAV "18933:TCP"= 18933:TCP:NortonAV "18559:TCP"= 18559:TCP:NortonAV "16814:TCP"= 16814:TCP:NortonAV "14500:TCP"= 14500:TCP:NortonAV "16043:TCP"= 16043:TCP:NortonAV "14830:TCP"= 14830:TCP:NortonAV "16843:TCP"= 16843:TCP:NortonAV "13321:TCP"= 13321:TCP:NortonAV "14260:TCP"= 14260:TCP:NortonAV "16237:TCP"= 16237:TCP:NortonAV "14542:TCP"= 14542:TCP:NortonAV "13017:TCP"= 13017:TCP:NortonAV "15599:TCP"= 15599:TCP:NortonAV "16783:TCP"= 16783:TCP:NortonAV "18855:TCP"= 18855:TCP:NortonAV "14894:TCP"= 14894:TCP:NortonAV "18556:TCP"= 18556:TCP:NortonAV "18694:TCP"= 18694:TCP:NortonAV "18781:TCP"= 18781:TCP:NortonAV "18230:TCP"= 18230:TCP:NortonAV "15129:TCP"= 15129:TCP:NortonAV "15374:TCP"= 15374:TCP:NortonAV "13526:TCP"= 13526:TCP:NortonAV "12599:TCP"= 12599:TCP:NortonAV R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [10/10/2006 19:28 155136] R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [10/10/2006 19:28 5248] . Contenu du dossier 'Tâches planifiées' 2010-04-24 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.com/ uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: {9DE8F987-FC83-4842-ABE9-BF05DF579775} = 62.192.128.60 Filter: video/x-flv - {08C72DD4-19AD-49f1-83DA-8542B4D302C5} - FF - ProfilePath - c:\documents and settings\Gillou\Application Data\Mozilla\Firefox\Profiles\0htu1a4l.default\ FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q= FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - plugin: c:\program files\Mozilla Firefox\plugins pdeployJava1.dll ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file) HKLM-Run-Pinnacle WebUpdater - c:\program files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe HKLM-Run-Componentsicuuc40 - c:\program files\safari\safarizlib.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-09 00:52 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x86CFC600]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf768ff28 \Driver\ACPI -> ACPI.sys @ 0xf74cbcb8 \Driver\atapi -> 0x86cfc600 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7321bb0 PacketIndicateHandler -> NDIS.sys @ 0xf732ea21 SendHandler -> NDIS.sys @ 0xf730c87b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-2483408491-3116702031-4135072499-1005\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(944) c:\windows\system32\Ati2evxx.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll . Heure de fin: 2010-06-09 00:54:44 ComboFix-quarantined-files.txt 2010-06-08 22:54 Avant-CF: 5 936 943 104 octets libres Après-CF: 5 907 693 568 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect - - End Of File - - 96CBA258D324457067FD8CC9346CE62F

Destrio5 · Answer

/!\ Seul Gillangelo peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\program files\adobe\acrobat 6.0\reader\plug_ins\picturetasks\ols\acrobatservices.exe
c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe
c:\program files\adobe\acrobat 6.0\reader\plug_ins\picturetasks\ols\acrobatservices.exe
c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe
c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe
c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe
c:\program files\fichiers communs\apple\mobile device support\bin\mobilemeui.resources\pl.lproj\mobilemeuilocalizedmobileme1301.exe
c:\program files\quicktime\pictureviewer.resources\ja.lproj\pictureviewerquicktime.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"AdobeServices1.0100"=-
"AcrobatUpdate"=-
"ServicesAdobe"=-
"QuickTimeResourcesQuickTime"=-
"QuickTimeQuickTimeResources"=-
"UpdateReader"=-
"MobileMeUILocalizedMobileMeUILocalized"=-
"QuickTimeQuickTime7.6"=-






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

Gillangelo · Answer

Bon petit problème, j'ai symantec comme antivirus, avec lui il y a Rtvscan qui ce met en route (enfin je crois). Impossible de le désactiver: il est en route, entre temps j'ai lancé ComboFix, il me dit que McAfee virusScan est en fonction, alors je décide de désinstaller Symantec, mais Rtvscan est toujours en route (Dans processus). Vu le message d'avertissement de ComboFix, je m'en remets à toi.

PS: la première foi j'avais réussi à déactiver Rtvscan

Destrio5 · Answer

Tu peux continuer quand même.

Gillangelo · Answer

bon voila le second rapport ComboFix 10-06-08.02 - Gillou 09/06/2010 1:48.2.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.678 [GMT 2:00] Lancé depuis: c:\documents and settings\Gillou\Mes documents\Téléchargements\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Gillou\Bureau\CFScript.txt AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83} FW: *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8} FILE :: "c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe" "c:\program files\adobe\acrobat 6.0 eader\plug_ins\picturetasks\ols\acrobatservices.exe" "c:\program files\fichiers communs\apple\mobile device support\bin\mobilemeui.resources\pl.lproj\mobilemeuilocalizedmobileme1301.exe" "c:\program files\quicktime\pictureviewer.resources\ja.lproj\pictureviewerquicktime.exe" "c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe" . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\adobe\{ac76ba86-0000-0000-7ac5-6028747ade00}\acrobatadobe.exe c:\program files\adobe\acrobat 6.0 eader\plug_ins\picturetasks\ols\acrobatservices.exe c:\program files\fichiers communs\apple\mobile device support\bin\mobilemeui.resources\pl.lproj\mobilemeuilocalizedmobileme1301.exe c:\program files\quicktime\pictureviewer.resources\ja.lproj\pictureviewerquicktime.exe c:\program files\quicktime\qtsystem\quicktime3gppauthoring.resources\fi.lproj\quicktimeresourcesquicktime.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-08 au 2010-06-08 )))))))))))))))))))))))))))))))))))) . 2010-06-05 15:41 . 2010-06-05 15:41 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Help . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-08 23:22 . 2007-11-28 10:22 -------- d-----w- c:\program files\Symantec 2010-06-08 23:22 . 2007-11-28 10:22 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared 2010-06-08 21:21 . 2009-05-24 09:57 -------- d-----w- c:\program files\Safari 2010-06-05 22:19 . 2010-03-07 22:27 -------- d-----w- c:\program files\Microsoft Silverlight 2010-05-29 16:16 . 2010-05-16 16:16 439816 ----a-w- c:\documents and settings\Gillou\Application Data\Real\Update\setup3.10\setup.exe 2010-05-27 16:09 . 2010-05-27 16:09 503808 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\msvcp71.dll 2010-05-27 16:09 . 2010-05-27 16:09 499712 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\jmc.dll 2010-05-27 16:09 . 2010-05-27 16:09 348160 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-231390dd-n\msvcr71.dll 2010-05-27 16:09 . 2010-05-27 16:09 61440 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2ba4af9a-n\decora-sse.dll 2010-05-27 16:09 . 2010-05-27 16:09 12800 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-2ba4af9a-n\decora-d3d.dll 2010-05-16 20:34 . 2008-03-10 16:27 -------- d-----w- c:\documents and settings\Gillou\Application Data\dvdcss 2010-05-11 20:37 . 2005-09-01 05:53 66738 ----a-w- c:\windows\system32\perfc00C.dat 2010-05-11 20:37 . 2005-09-01 05:53 451592 ----a-w- c:\windows\system32\perfh00C.dat 2010-05-03 19:54 . 2010-05-03 18:27 -------- d-----w- c:\program files\ZHPDiag 2010-05-03 19:43 . 2010-05-03 19:07 -------- d-----w- c:\program files\List_Kill'em 2010-05-03 18:20 . 2010-05-03 18:20 -------- d-----w- c:\documents and settings\Gillou\Application Data\Uniblue 2010-05-03 18:13 . 2010-05-03 18:13 -------- d-----w- c:\documents and settings\Gillou\Application Data\Malwarebytes 2010-05-03 17:03 . 2010-05-03 17:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-05-03 17:03 . 2010-05-03 17:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-05-02 13:19 . 2010-05-02 13:19 -------- d-----w- c:\program files\Enigma Software Group 2010-05-02 13:17 . 2010-05-02 13:17 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard 2010-04-29 13:39 . 2010-05-03 17:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 13:39 . 2010-05-03 17:03 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-25 20:38 . 2010-04-05 23:26 -------- d-----w- c:\program files\DOSBox-0.72 2010-04-24 14:59 . 2010-04-24 14:59 503808 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\msvcp71.dll 2010-04-24 14:59 . 2010-04-24 14:59 499712 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\jmc.dll 2010-04-24 14:59 . 2010-04-24 14:59 348160 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-53ea3b65-n\msvcr71.dll 2010-04-24 14:59 . 2010-04-24 14:59 61440 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1d18f0b2-n\decora-sse.dll 2010-04-24 14:59 . 2010-04-24 14:59 12800 ----a-w- c:\documents and settings\Gillou\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1d18f0b2-n\decora-d3d.dll 2010-04-24 14:58 . 2006-03-06 21:32 -------- d-----w- c:\program files\Fichiers communs\Java 2010-04-24 14:57 . 2006-03-06 21:32 -------- d-----w- c:\program files\Java 2010-04-12 15:29 . 2010-04-24 14:58 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-03-28 21:15 . 2006-03-17 22:17 52904 -c--a-w- c:\documents and settings\Gillou\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2010-03-11 12:34 . 2004-08-10 12:00 832512 ----a-w- c:\windows\system32\wininet.dll 2010-03-11 12:34 . 2004-08-10 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-03-11 12:34 . 2004-08-10 12:00 17408 ------w- c:\windows\system32\corpol.dll 2004-08-10 12:00 . 2006-10-03 15:10 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe 2006-04-13 18:29 . 2006-03-17 22:17 104 -csha-r- c:\windows\system32\CDCAD24666.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392] "Apoint"="c:\program files\Apoint\Apoint.exe" [2005-10-07 176128] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "Dell QuickSet"="c:\program files\Dell\QuickSet\Quickset.exe" [2005-09-01 684032] "DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920] "MSKDetectorExe"="c:\program files\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 1117184] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-03-18 180269] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472] "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040] "UpdaterPDDom"="c:\program files\adobe\acrobat 6.0 eader\plug_ins\sendmailimaging.exe" [2010-05-01 153600] "acroaumAcroaum"="c:\program files\adobe\acrobat 6.0 eader\updater\acroaumacroaum.exe" [2010-05-01 153600] "aticds20Atiadaxx6.14.10.5160"="c:\program files\ati technologies\ati control panel\desktopaticds20.exe" [2010-05-01 153600] "AiodAdobe6010"="c:\program files\adobe\acrobat 6.0\esl\acrobatadobe1011.exe" [2010-05-01 153600] "NPPDF32Adobe"="c:\program files\adobe\acrobat 6.0 eader\browser\adobeacrobat.exe" [2010-05-01 153600] "IA32Access"="c:\program files\adobe\acrobat 6.0 eader\plug_ins\sendmailimaging.exe" [2010-05-01 153600] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "Adobeplugin"="c:\program files\adobe\acrobat 6.0 eader\plug_ins\sendmailimaging.exe" [2010-05-01 153600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Gillou\Menu D'marrer\Programmes\D'marrage\ Outil de notification Live Search.lnk - c:\documents and settings\Gillou\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-4-11 143360] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-22 45056] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2006-3-6 24576] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] 2004-09-07 16:08 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\EA Games\Command & Conquer The First Decade\Command & Conquer(tm) Generals Zero Hour\game.dat"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\StubInstaller.exe"= "c:\Program Files\LimeWire\LimeWire.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "12115:TCP"= 12115:TCP:NortonAV "18606:TCP"= 18606:TCP:NortonAV "15381:TCP"= 15381:TCP:NortonAV "13547:TCP"= 13547:TCP:NortonAV "16608:TCP"= 16608:TCP:NortonAV "13934:TCP"= 13934:TCP:NortonAV "18260:TCP"= 18260:TCP:NortonAV "14054:TCP"= 14054:TCP:NortonAV "14918:TCP"= 14918:TCP:NortonAV "12297:TCP"= 12297:TCP:NortonAV "13568:TCP"= 13568:TCP:NortonAV "14293:TCP"= 14293:TCP:NortonAV "18976:TCP"= 18976:TCP:NortonAV "13101:TCP"= 13101:TCP:NortonAV "18933:TCP"= 18933:TCP:NortonAV "18559:TCP"= 18559:TCP:NortonAV "16814:TCP"= 16814:TCP:NortonAV "14500:TCP"= 14500:TCP:NortonAV "16043:TCP"= 16043:TCP:NortonAV "14830:TCP"= 14830:TCP:NortonAV "16843:TCP"= 16843:TCP:NortonAV "13321:TCP"= 13321:TCP:NortonAV "14260:TCP"= 14260:TCP:NortonAV "16237:TCP"= 16237:TCP:NortonAV "14542:TCP"= 14542:TCP:NortonAV "13017:TCP"= 13017:TCP:NortonAV "15599:TCP"= 15599:TCP:NortonAV "16783:TCP"= 16783:TCP:NortonAV "18855:TCP"= 18855:TCP:NortonAV "14894:TCP"= 14894:TCP:NortonAV "18556:TCP"= 18556:TCP:NortonAV "18694:TCP"= 18694:TCP:NortonAV "18781:TCP"= 18781:TCP:NortonAV "18230:TCP"= 18230:TCP:NortonAV "15129:TCP"= 15129:TCP:NortonAV "15374:TCP"= 15374:TCP:NortonAV "13526:TCP"= 13526:TCP:NortonAV "12599:TCP"= 12599:TCP:NortonAV R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [10/10/2006 19:28 155136] R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [10/10/2006 19:28 5248] . Contenu du dossier 'Tâches planifiées' 2010-04-24 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.com/ uInternet Settings,ProxyOverride = *.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 TCP: {9DE8F987-FC83-4842-ABE9-BF05DF579775} = 62.192.128.60 Filter: video/x-flv - {08C72DD4-19AD-49f1-83DA-8542B4D302C5} - FF - ProfilePath - c:\documents and settings\Gillou\Application Data\Mozilla\Firefox\Profiles\0htu1a4l.default\ FF - prefs.js: browser.search.selectedEngine - Live Search FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q= FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll FF - plugin: c:\program files\Mozilla Firefox\plugins pdeployJava1.dll ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-MobileMeMobileMeUILocalized - c:\program files\fichiers communs\apple\mobile device support\bin\mobilemeui.resources\pl.lproj\mobilemeuilocalizedmobileme1301.exe HKLM-Run-QuickTimeQuickTime - c:\program files\quicktime\pictureviewer.resources\ja.lproj\pictureviewerquicktime.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-09 01:58 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86CD2288]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf768ff28 \Driver\ACPI -> ACPI.sys @ 0xf74cbcb8 \Driver\atapi -> 0x86cd2288 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014 NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf7321bb0 PacketIndicateHandler -> NDIS.sys @ 0xf732ea21 SendHandler -> NDIS.sys @ 0xf730c87b Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-2483408491-3116702031-4135072499-1005\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*] "C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(944) c:\windows\system32\Ati2evxx.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'explorer.exe'(2904) c:\windows\system32\eappprxy.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\Ati2evxx.exe c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\program files\Intel\Wireless\Bin\WLKeeper.exe c:\program files\Intel\Wireless\Bin\ZcfgSvc.exe c:\windows\system32\Ati2evxx.exe c:\progra~1\Intel\Wireless\Bin\1XConfig.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\eHome\ehRecvr.exe c:\windows\eHome\ehSched.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe c:\windows\system32 undll32.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\wdfmgr.exe c:\program files\Apoint\Apntex.exe c:\program files\Apoint\HidFind.exe c:\windows\ehome\mcrdsvc.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe c:\documents and settings\Gillou\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe c:\windows\system32\dllhost.exe c:\program files\iPod\bin\iPodService.exe c:\windows\eHome\ehmsas.exe c:\program files\Toshiba\Bluetooth Toshiba Stack osOBEX.exe c:\program files\Toshiba\Bluetooth Toshiba Stack osBtProc.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Heure de fin: 2010-06-09 02:05:43 - La machine a redémarré ComboFix-quarantined-files.txt 2010-06-09 00:05 ComboFix2.txt 2010-06-08 22:54 Avant-CF: 6 299 856 896 octets libres Après-CF: 6 265 024 512 octets libres - - End Of File - - A0070B28C7D7E8017644D3B73ACFD5BB

Destrio5 · Answer

--> Fais analyser ce fichier : c:\program files\adobe\acrobat 6.0\reader\plug_ins\sendmailimaging.exe

--> Sur VirusTotal et poste le lien de l'analyse.

Gillangelo · Answer

sinon une autre question que me conseilles-tu comme antivirus?

Destrio5 · Answer

En gratuit, AntiVir Personal.

Gillangelo · Answer

et que vaut avast?

Destrio5 · Answer

https://forum.malekal.com/viewtopic.php?t=23535&start=

Gillangelo · Answer

Le scan rapide par DrWeb est super long...

Sinon voici se que donne l'analyse avec Virustotal

 Fichier umCustomPlayerSkinsREADMEh17647.e reçu le 2010.05.03 21:42:29 (UTC)
Situation actuelle: terminé
Résultat: 17/40 (42.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.05.03 	Packed.Win32.Katusha!IK
AhnLab-V3 	2010.05.03.00 	2010.05.03 	-
AntiVir 	8.2.1.224 	2010.05.03 	TR/PCK.Katusha.L.103
Antiy-AVL 	2.0.3.7 	2010.04.30 	-
Authentium 	5.2.0.5 	2010.05.03 	-
Avast 	4.8.1351.0 	2010.05.03 	Win32:Rootkit-gen
Avast5 	5.0.332.0 	2010.05.03 	Win32:Rootkit-gen
AVG 	9.0.0.787 	2010.05.03 	SHeur3.UVG
BitDefender 	7.2 	2010.05.03 	Gen:Variant.Renos.26
CAT-QuickHeal 	10.00 	2010.05.03 	-
ClamAV 	0.96.0.3-git 	2010.05.03 	-
Comodo 	4753 	2010.05.03 	Heur.Packed.Unknown
DrWeb 	5.0.2.03300 	2010.05.03 	-
eSafe 	7.0.17.0 	2010.05.03 	-
eTrust-Vet 	35.2.7466 	2010.05.03 	-
F-Prot 	4.5.1.85 	2010.05.03 	-
F-Secure 	9.0.15370.0 	2010.05.03 	Gen:Variant.Renos.26
Fortinet 	4.0.14.0 	2010.05.03 	-
GData 	21 	2010.05.03 	Gen:Variant.Renos.26
Ikarus 	T3.1.1.80.0 	2010.05.03 	Packed.Win32.Katusha
Jiangmin 	13.0.900 	2010.05.03 	-
Kaspersky 	7.0.0.125 	2010.05.03 	Packed.Win32.Katusha.l
McAfee 	5.400.0.1158 	2010.05.03 	-
McAfee-GW-Edition 	6.8.5 	2010.05.03 	Trojan.PCK.Katusha.L.103
Microsoft 	1.5703 	2010.05.03 	-
NOD32 	5083 	2010.05.03 	-
Norman 	6.04.12 	2010.05.03 	-
nProtect 	2010-05-03.01 	2010.05.03 	Gen:Variant.Renos.26
Panda 	10.0.2.7 	2010.05.03 	Trj/Zlob.KH
PCTools 	7.0.3.5 	2010.05.03 	-
Prevx 	3.0 	2010.05.03 	High Risk Cloaked Malware
Rising 	22.45.04.03 	2010.04.30 	-
Sophos 	4.53.0 	2010.05.03 	Mal/FakeAV-DH
Sunbelt 	6253 	2010.05.03 	Trojan.Win32.Generic!BT
Symantec 	20091.2.0.41 	2010.05.03 	-
TheHacker 	6.5.2.0.275 	2010.05.03 	-
TrendMicro 	9.120.0.1004 	2010.05.03 	-
VBA32 	3.12.12.4 	2010.05.03 	-
ViRobot 	2010.5.3.2301 	2010.05.03 	-
VirusBuster 	5.0.27.0 	2010.05.03 	-
Information additionnelle
File size: 153600 bytes
MD5   : 4a3209878d232bbea9f6216a3c51207c
SHA1  : 094717eac749c31dbeec639bc8de957ab5717057
SHA256: d7a670f27fb7037576c47f9a9d2911696719e53575bf61cb7062030d9ed82586
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2287
timedatestamp.....: 0x4BDC3589 (Sat May 1 16:07:05 2010)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x207F6 0x20800 7.81 fc651581a47e12c164aa20a7c0343e2c
.data 0x22000 0x1F400 0x1A00 0.00 3c63825015aabd810674f44afac6d12b
.bss 0x42000 0x7D0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x43000 0x1D36 0x1E00 4.82 702d88da4f389d125220b7609d1ca2b1
.idata 0x45000 0x3C0 0x400 4.54 a9b282e028f1bcf07a31b968d450c582
.rsrc 0x46000 0xD3A 0xE00 5.78 31a996aaf858f55c590a6ab8077a00d1

( 2 imports )

> kernel32.dll: GetCommandLineA, GetCurrentProcess, GetCurrentThread, GetLastError, GetProcessHeap, LeaveCriticalSection, LoadLibraryA, QueryPerformanceCounter, Sleep, lstrlenA
> user32.dll: CheckDlgButton, CheckMenuItem, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DialogBoxParamA, EndDialog, FillRect, GetDlgItemTextA, GetMessageA, GetMessagePos, GetProcessWindowStation, GetWindowTextA, IntersectRect, LoadBitmapA, LoadIconA, MessageBoxA, PeekMessageA, SetDlgItemTextA, SetWindowPos, TranslateMessage, UnregisterClassA, WinHelpA, wsprintfA

( 0 exports )
TrID  : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
VXD Driver (0.1%)
Symantec reputation: Suspicious.Insight https://www.broadcom.com/support/security-center
ssdeep: 3072:BbHcTlHhj1YWkt8zbvh/wR7Fql3yXwYlYCAmBG07tEKNdwgUj:BgT14nt8fVweliXZFAKGLciJ
sigcheck: publisher....: n/a
copyright....: SakofNL5B4g WRbxuTX9o
product......: n/a
description..: wC5dAjDVzs lFmnJxHsI4
original name: gD4tVYF.exe
internal name: n/a
file version.: 1.1.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=39114E2000B862515818027A093A200092DD4214
PEiD  : -
RDS   : NSRL Reference Data Set
-

Destrio5 · Answer

Le scan n'est toujours pas fini ?

Gillangelo · Answer

j'ai laissé le pc travailler pendant la nuit mais il s'est mis en veille.... Donc le scan s'est arrêté.

Destrio5 · Answer

--> Installe AntiVir Personal et mets-le à jour.

--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.

--> Dans AntiVir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.

--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

Tutoriel sur AntiVir.

Gillangelo · Answer

Rapport du scan de AntiVirus: Avira AntiVir Personal Date de création du fichier de rapport : mercredi 9 juin 2010 12:12 La recherche porte sur 2198712 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows XP Version de Windows : (Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : Gillou Nom de l'ordinateur : PTITOM Informations de version : BUILD.DAT : 9.0.0.74 21698 Bytes 04/12/2009 13:56:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 08:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 08:21:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 05:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 10:03:41 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 10:03:55 VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 10:04:00 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 10:04:07 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 10:04:18 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 10:04:29 VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 10:04:29 VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 10:04:29 VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 10:04:29 VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 10:04:29 VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 10:04:29 VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 10:04:29 VBASE013.VDF : 7.10.7.225 2048 Bytes 02/06/2010 10:04:29 VBASE014.VDF : 7.10.8.6 136704 Bytes 07/06/2010 10:04:30 VBASE015.VDF : 7.10.8.7 2048 Bytes 07/06/2010 10:04:30 VBASE016.VDF : 7.10.8.8 2048 Bytes 07/06/2010 10:04:30 VBASE017.VDF : 7.10.8.9 2048 Bytes 07/06/2010 10:04:30 VBASE018.VDF : 7.10.8.10 2048 Bytes 07/06/2010 10:04:30 VBASE019.VDF : 7.10.8.11 2048 Bytes 07/06/2010 10:04:30 VBASE020.VDF : 7.10.8.12 2048 Bytes 07/06/2010 10:04:30 VBASE021.VDF : 7.10.8.13 2048 Bytes 07/06/2010 10:04:30 VBASE022.VDF : 7.10.8.14 2048 Bytes 07/06/2010 10:04:30 VBASE023.VDF : 7.10.8.15 2048 Bytes 07/06/2010 10:04:30 VBASE024.VDF : 7.10.8.16 2048 Bytes 07/06/2010 10:04:31 VBASE025.VDF : 7.10.8.17 2048 Bytes 07/06/2010 10:04:31 VBASE026.VDF : 7.10.8.18 2048 Bytes 07/06/2010 10:04:31 VBASE027.VDF : 7.10.8.19 2048 Bytes 07/06/2010 10:04:31 VBASE028.VDF : 7.10.8.20 2048 Bytes 07/06/2010 10:04:31 VBASE029.VDF : 7.10.8.21 2048 Bytes 07/06/2010 10:04:31 VBASE030.VDF : 7.10.8.22 2048 Bytes 07/06/2010 10:04:31 VBASE031.VDF : 7.10.8.27 81408 Bytes 09/06/2010 10:04:31 Version du moteur : 8.2.2.6 AEVDF.DLL : 8.1.2.0 106868 Bytes 09/06/2010 10:04:49 AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 09/06/2010 10:04:48 AESCN.DLL : 8.1.6.1 127347 Bytes 09/06/2010 10:04:46 AESBX.DLL : 8.1.3.1 254324 Bytes 09/06/2010 10:04:50 AERDL.DLL : 8.1.4.6 541043 Bytes 09/06/2010 10:04:45 AEPACK.DLL : 8.2.1.1 426358 Bytes 09/06/2010 10:04:44 AEOFFICE.DLL : 8.1.1.0 201081 Bytes 09/06/2010 10:04:42 AEHEUR.DLL : 8.1.1.33 2724214 Bytes 09/06/2010 10:04:41 AEHELP.DLL : 8.1.11.5 242038 Bytes 09/06/2010 10:04:35 AEGEN.DLL : 8.1.3.10 377205 Bytes 09/06/2010 10:04:34 AEEMU.DLL : 8.1.2.0 393588 Bytes 09/06/2010 10:04:33 AECORE.DLL : 8.1.15.3 192886 Bytes 09/06/2010 10:04:32 AEBB.DLL : 8.1.1.0 53618 Bytes 09/06/2010 10:04:32 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30 AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31 AVREP.DLL : 8.0.0.7 159784 Bytes 09/06/2010 10:04:51 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 13:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 13:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26 RCTEXT.DLL : 9.0.73.0 88321 Bytes 02/11/2009 14:58:32 Configuration pour la recherche actuelle : Nom de la tâche...............................: Lecteurs locaux Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, D:, E:, F:, G:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Sélection de fichiers intelligente Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Début de la recherche : mercredi 9 juin 2010 12:12 La recherche d'objets cachés commence. '67425' objets ont été contrôlés, '0' objets cachés ont été trouvés. La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'Mise-a-jour-LiveSearch.exe' - '1' module(s) sont contrôlés Processus de recherche 'Notification-LiveSearch.exe' - '1' module(s) sont contrôlés Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés Processus de recherche 'DLG.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'NMBgMonitor.exe' - '1' module(s) sont contrôlés Processus de recherche 'hidfind.exe' - '1' module(s) sont contrôlés Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés Processus de recherche 'quickset.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'DMXLauncher.exe' - '1' module(s) sont contrôlés Processus de recherche 'iFrmewrk.exe' - '1' module(s) sont contrôlés Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'NicConfigSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche '1XConfig.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'WLKEEPER.exe' - '1' module(s) sont contrôlés Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '63' processus ont été contrôlés avec '63' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '77' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Program Files\EA Games\Command & Conquer\Red Alert 2 & Yuri's Revenche\YURI\RA2 Yuris Revenge - Crack.ace [0] Type d'archive: ACE --> gamemd.exe [AVERTISSEMENT] Mémoire insuffisante ! Le virus ou le programme indésirable n'a pas été supprimé ! --> YURI-1001-ENGLISH.EXE [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. C:\Program Files\QuickTime\PictureViewer.Resources\fr.lproj\QuickTimeQuickTime.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\Program Files\Real\RealPlayer\Patch 2.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen C:\Qoobox\Quarantine\[4]-Submit_2010-06-09_01.47.37.zip [0] Type d'archive: ZIP --> acrobatadobe.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 --> acrobatservices.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 --> mobilemeuilocalizedmobileme1301.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 --> pictureviewerquicktime.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 --> quicktimeresourcesquicktime.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200510.exe [RESULTAT] Contient le cheval de Troie TR/FraudPack.avfo C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200515.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.181 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200516.exe [RESULTAT] Contient le cheval de Troie TR/Vilsel.adhv C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207445.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207446.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207447.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207448.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207449.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207861.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207862.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207863.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207864.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207865.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 Recherche débutant dans 'D:\' Impossible d'ouvrir le chemin à contrôler D:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Recherche débutant dans 'E:\' Recherche débutant dans 'F:\' Recherche débutant dans 'G:\' Impossible d'ouvrir le chemin à contrôler G:\ ! Erreur système [21]: Le périphérique n'est pas prêt. Début de la désinfection : C:\Program Files\QuickTime\PictureViewer.Resources\fr.lproj\QuickTimeQuickTime.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c788e3a.qua' ! C:\Program Files\Real\RealPlayer\Patch 2.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c838e26.qua' ! C:\Qoobox\Quarantine\[4]-Submit_2010-06-09_01.47.37.zip [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c6c8df9.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200510.exe [RESULTAT] Contient le cheval de Troie TR/FraudPack.avfo [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c418df5.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200515.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.181 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c418df6.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP404\A0200516.exe [RESULTAT] Contient le cheval de Troie TR/Vilsel.adhv [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d394a9f.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207445.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4819d6ef.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207446.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '481be75f.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207447.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '481aff87.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207448.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '481df7cf.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP419\A0207449.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '481c0ff7.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207861.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d3b42cf.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207862.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d3a5af7.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207863.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f915d0f.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207864.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c418df7.qua' ! C:\System Volume Information\_restore{C75D780B-5CD4-494E-AB96-5DA2A6677439}\RP421\A0207865.exe [RESULTAT] Contient le cheval de Troie TR/PCK.Katusha.L.103 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f936d70.qua' ! Fin de la recherche : mercredi 9 juin 2010 14:49 Temps nécessaire: 2:35:52 Heure(s) La recherche a été effectuée intégralement 9241 Les répertoires ont été contrôlés 366742 Des fichiers ont été contrôlés 20 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 16 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 366721 Fichiers non infectés 4437 Les archives ont été contrôlées 4 Avertissements 17 Consignes 67425 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

Destrio5 · Answer

Bien.

--> Refais un scan ComboFix et poste le rapport.

Gillangelo · Answer

ok, sinon j'ai eu l'outil de suppression des logiciels malveillants de windows qui me met ça en rapport d'analyse:

logiciels malveillant:
TrojanDownloader:Win32/FakeRean -> détecté mais pas supprimé

Destrio5 · Answer

Sur quel fichier ?

Gillangelo · Answer

Bon j'ai relancé combofix (qui me dit que le scan de McAfee est en route, je ne sais pas de quel processus il s'agit et je n'ai pas McAfee. Je crois que le scan c'est Mcshield.exe pour McAfee mais je ne l'ai pas).

Sinon je n'arrive pas à poster le rapport de combofix (je peux faire jusqu'à l'aperçu mais dès que je valide il se bloque) et je n'ai pas réussi à retrouver le dossier de FakeRean.

Destrio5 · Answer

Pour me transmettre le rapport :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

Gillangelo · Answer

voici
http://www.cijoint.fr/cjlink.php?file=cj201006/cijtG4qlC0.txt

Destrio5 · Answer

Pour supprimer les traces de McAfee, tu peux essayer ceci :
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

Le PC va mieux ?

Gillangelo · Answer

le pc va beaucoup mieux, j'ai juste quelques drivers et codecs à réinstaller. Mais sinon je suis super content. Merci beaucoup pour ton aide et ta réactivité.
Bye

Destrio5 · Answer

1/

---> Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Pour supprimer les popups d'AntiVir : Lien

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

Gillangelo · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Ad-remover: trouvé !
C:\Documents and Settings\Gillou\Mes documents\Téléchargements\Ad-R.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\List_Kill'em\catchme.exe: trouvé !
C:\Program Files\List_Kill'em\mbr.log: trouvé !
C:\Program Files\List_Kill'em\mbr.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Gillou\Mes documents\Téléchargements\Ad-R.exe: supprimé !
C:\Program Files\List_Kill'em\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\List_Kill'em\mbr.log: supprimé !
C:\Program Files\List_Kill'em\mbr.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Corbeille vidée!
Restauration annulée !
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

Destrio5 · Answer

Tu peux supprimer ToolsCleaner.

gillangelo · Answer

Bon j'ai tout fait, j'espère que ça tenir un bon moment...

Sinon j'ai lu lien sur P2P. Intéressant mais j'étais plus ou moins au courant. En fait le souci c'est que l'on est trois à utiliser le PC.
Perso, ça doit faire plus d'un an  que je n'ai pas utilisé un logiciel P2P, limewire est toulours sur le PC mais il est inactif.
J'utilise le pc que pour aller sur Youtube, Facebook, etc. et quelques site de films en streaming.

gillangelo · Answer

Sinon tu connais un bon pack de codecs?

Destrio5 · Answer

K-Lite Codec ?

Suite de desktop security 2010

30 réponses

Discussions similaires