Infection trojan Opachki.ru Résolu/Fermé

Question

Bonjour, Spybot à détecté un trojan dans mon ordinateur pouvez-vous m'aider à le désinfecter?!!

Merci!

Configuration: Windows XP / Firefox 3.6.3

phoenixgirl · Answer

Rapport Hijack this:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:45, on 2010-06-21
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\D-Link\DWA-125 revA\ANIWConnService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft IntelliType Pro	ype32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\D-Link\DWA-125 revA\AirGCFG.exe
C:\Program Files\D-Link\DWA-125 revA\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Program Files\MediaKey\Versato.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\MediaKey\MePlayer.exe
C:\Program Files\MediaKey\OSD.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Spyware Terminator\SpywareTerminator.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [D-Link D-Link DWA-125] C:\Program Files\D-Link\DWA-125 revA\AirGCFG.exe
O4 - HKLM\..\Run: [WZCSLDR2] C:\Program Files\D-Link\DWA-125 revA\WZCSLDR2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: D_Link_DWA-125 Service (D_Link_DWA-125) - Wireless Service - C:\Program Files\D-Link\DWA-125 revA\ANIWZCSdS.exe
O23 - Service: D_Link_DWA-125_WPS Service (D_Link_DWA-125_WPS) - Unknown owner - C:\Program Files\D-Link\DWA-125 revA\ANIWConnService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

phoenixgirl · Answer

J'ai le rapport de SpYbot si ca peut t'aider...


Hint of the Day: Click the bar at the right of this to see more information! ()
  

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Settings (Registry change, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Opachki.ru: [SBI $9E90BA5A] Autorun settings (Registry value, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\


--- Spybot - Search & Destroy version: 1.6.0  (build: 20080707) ---

2008-07-07 blindman.exe (1.0.0.8)
2008-07-07 SDFiles.exe (1.6.0.4)
2008-07-07 SDMain.exe (1.0.0.6)
2008-07-07 SDShred.exe (1.0.2.3)
2008-07-07 SDUpdate.exe (1.6.0.8)
2008-07-07 SDWinSec.exe (1.0.0.12)
2008-07-07 SpybotSD.exe (1.6.0.30)
2008-09-16 TeaTimer.exe (1.6.3.25)
2008-09-02 unins000.exe (51.49.0.0)
2008-07-07 Update.exe (1.6.0.7)
2009-11-04 advcheck.dll (1.6.5.20)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2008-09-15 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2008-10-22 Tools.dll (2.1.6.8)
2010-06-16 Includes\Adware.sbi (*)
2010-06-16 Includes\AdwareC.sbi (*)
2010-01-25 Includes\Cookies.sbi (*)
2009-11-03 Includes\Dialer.sbi (*)
2010-06-15 Includes\DialerC.sbi (*)
2010-01-25 Includes\HeavyDuty.sbi (*)
2009-05-26 Includes\Hijackers.sbi (*)
2010-06-15 Includes\HijackersC.sbi (*)
2010-06-09 Includes\iPhone.sbi (*)
2010-01-20 Includes\Keyloggers.sbi (*)
2010-06-15 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2010-06-01 Includes\Malware.sbi (*)
2010-06-15 Includes\MalwareC.sbi (*)
2010-05-18 Includes\PUPS.sbi (*)
2010-06-15 Includes\PUPSC.sbi (*)
2010-01-25 Includes\Revision.sbi (*)
2009-01-13 Includes\Security.sbi (*)
2010-06-15 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-06-16 Includes\Spyware.sbi (*)
2010-06-16 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-06-01 Includes\Trojans.sbi (*)
2010-06-08 Includes\TrojansC-02.sbi (*)
2010-06-15 Includes\TrojansC-03.sbi (*)
2010-06-15 Includes\TrojansC-04.sbi (*)
2010-06-15 Includes\TrojansC-05.sbi (*)
2010-06-08 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Utilisateur anonyme · Answer

bonsoir, désinstalle spybot, il n'est plus efficace face aux infections de nos jours !

Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau. 
http://images.malwareremoval.com/random/RSIT.exe
	
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil. 
Clique sur ' continue ' à l'écran Disclaimer. 
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. 
Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
(log.txt & info.txt) 
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note: 
si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php

Malekal_morte- · Answer

Quelle buze ce Spybot.... \o

phoenixgirl · Answer

Merci pour votre aide!!

Voici les rapports:

LOG:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijTD6HxF5.txt

INFO:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijj7tlCYX.txt

Merci encore, j'attends les prochaines instructions :P

Utilisateur anonyme · Answer

Enregistre seulement tes données sur un autre support que ton Disque dure, ceci n'est qu'une précaution .



*	/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
/!\INSTALLES LA CONSOLE DE RECUPERATION

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

phoenixgirl · Answer

ComboFix 10-06-23.01 - Pam administrateure 2010-06-23  17:14:05.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.2.1036.18.894.454 [GMT -4:00]
Lancé depuis: c:\documents and settings\Pam administrateure\Bureau\Bibitte.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Firewall *enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-23 au 2010-06-23  ))))))))))))))))))))))))))))))))))))
.

2010-06-23 15:37 . 2010-06-23 15:37	348160	----a-w-	c:\documents and settings\Pam administrateure\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-44f53347-n\msvcr71.dll
2010-06-23 15:36 . 2010-06-23 15:37	503808	----a-w-	c:\documents and settings\Pam administrateure\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-44f53347-n\msvcp71.dll
2010-06-23 15:36 . 2010-06-23 15:36	499712	----a-w-	c:\documents and settings\Pam administrateure\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-44f53347-n\jmc.dll
2010-06-22 18:28 . 2010-06-22 18:29	--------	d-----w-	C:sit
2010-06-22 15:45 . 2010-06-22 15:45	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-06-22 15:41 . 2010-06-22 15:41	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-06-21 22:24 . 2010-06-22 18:29	--------	d-----w-	c:\program files\Trend Micro
2010-06-20 22:29 . 2010-05-06 10:33	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-20 22:28 . 2010-06-20 22:28	--------	d-----w-	c:\documents and settings\Pam administrateure\Application Data\HP
2010-06-20 21:24 . 2010-06-20 21:24	--------	d-----w-	c:\documents and settings\Pam administrateure\Application Data\VirtualStore
2010-06-20 21:09 . 2010-06-20 21:09	--------	d-----w-	c:\program files\D-Link
2010-06-20 21:08 . 2010-06-20 21:08	--------	d-----w-	c:\documents and settings\Pam administrateure\Application Data\InstallShield
2010-06-20 20:53 . 2010-06-20 20:53	48640	----a-w-	c:\windows\system32\ANPD64.SYS
2010-06-20 20:53 . 2010-06-20 20:53	315392	----a-w-	c:\windows\system32\ANPDApi.dll
2010-06-20 20:53 . 2010-06-20 20:53	29411	----a-w-	c:\windows\system32\ANPD.SYS
2010-06-20 20:52 . 2009-09-15 18:09	779136	----a-w-	c:\windows\system32\drivers\Drt2870.sys
2010-06-20 20:52 . 2009-09-15 18:08	221184	----a-w-	c:\windows\system32\RaCoInst.dll
2010-06-20 20:52 . 2009-09-15 18:08	13931	----a-w-	c:\windows\system32\RaCoInst.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-23 21:18 . 2008-09-03 00:23	20379680	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2010-06-23 21:00 . 2008-09-03 00:23	239108	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2010-06-23 20:48 . 2008-09-02 20:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spyware Terminator
2010-06-23 20:48 . 2008-12-25 00:30	--------	d-----w-	c:\documents and settings\Pam administrateure\Application Data\Spyware Terminator
2010-06-23 20:48 . 2008-09-02 20:38	--------	d-----w-	c:\program files\Spyware Terminator
2010-06-23 16:39 . 2004-08-05 12:00	93408	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-23 16:39 . 2004-08-05 12:00	532828	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-23 16:32 . 2010-06-23 16:33	2039296	----a-w-	c:\windows\Internet Logs\xDB31.tmp
2010-06-22 18:24 . 2008-09-02 19:55	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-06-22 18:24 . 2008-09-02 19:55	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-06-22 15:40 . 2008-07-16 20:09	--------	d-----w-	c:\program files\Google
2010-06-20 22:58 . 2008-09-03 13:29	--------	d-----w-	c:\program files\CCleaner
2010-06-20 22:33 . 2008-12-07 19:15	--------	d-----w-	c:\documents and settings\All Users\Application Data\QuickTime
2010-06-20 22:27 . 2008-09-02 22:50	113615	----a-w-	c:\windows\hpoins07.dat
2010-06-20 21:09 . 2008-07-16 18:37	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-09 13:48 . 2009-09-29 17:52	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-05-06 10:33 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2004-08-05 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2004-08-05 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-19 12:26 . 2009-03-06 15:06	8650649	----a-w-	c:\windows\Internet Logs	vDebug.zip
2010-04-14 23:20 . 2010-04-15 11:57	1910272	----a-w-	c:\windows\Internet Logs\xDB30.tmp
2010-04-14 23:20 . 2010-04-15 11:57	2428928	----a-w-	c:\windows\Internet Logs\xDB2F.tmp
2010-03-31 04:16 . 2010-03-31 04:16	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2010-03-31 04:10 . 2010-03-31 04:10	295264	----a-w-	c:\windows\system32\PresentationHost.exe
2008-09-02 17:59 . 2008-09-02 17:59	14290	----a-w-	c:\program files\settings.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-03-02 577536]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"nwiz"="nwiz.exe" [2007-12-05 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-06 54832]
"CARPService"="carpserv.exe" [2003-05-21 4608]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-09-02 1783808]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"type32"="c:\program files\Microsoft IntelliType Pro	ype32.exe" [2004-06-03 172032]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
"D-Link D-Link DWA-125"="c:\program files\D-Link\DWA-125 revA\AirGCFG.exe" [2009-10-19 995328]
"WZCSLDR2"="c:\program files\D-Link\DWA-125 revA\WZCSLDR2.exe" [2009-10-19 122880]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
APC UPS Status.lnk - c:\program files\APC\APC PowerChute Personal Edition\Display.exe [2008-9-3 221247]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2009-7-10 323584]
McAfee Security Scan.lnk - c:\program files\McAfee Security Scan\1.0.150\SSScheduler.exe [2009-7-27 199184]
Versato.lnk - c:\program files\MediaKey\Versato.exe [2009-12-24 565248]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-25 304128]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
backup=c:\windows\pss\Logiciel Kodak EasyShare.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Vid]
2009-06-02 12:59	5451536	----a-w-	c:\program files\Logitech\Logitech Vid\Vid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2009-05-08 14:35	2780432	----a-w-	c:\program files\Logitech\Logitech WebCam Software\LWS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-13 23:34	1695232	------w-	c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2009-07-26 20:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-12-07 19:15	77824	----a-w-	c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Logitech\Logitech Vid\Vid.exe"=

R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [2009-12-24 14624]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-09-02 141312]
R2 ANPD;ANPD Service;c:\windows\system32\ANPD.SYS [2010-06-20 29411]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-08-07 108289]
R2 D_Link_DWA-125_WPS;D_Link_DWA-125_WPS Service;c:\program files\D-Link\DWA-125 revA\ANIWConnService.exe [2010-06-20 40960]
S2 D_Link_DWA-125;D_Link_DWA-125 Service;c:\program files\D-Link\DWA-125 revA\ANIWZCSdS.exe [2010-06-20 126976]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 135664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 15:40]

2010-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-06-22 15:40]

2010-06-23 c:\windows\Tasks\User_Feed_Synchronization-{3832D8D0-29EA-41AB-9BF2-0D04612CB162}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]

2010-06-23 c:\windows\Tasks\User_Feed_Synchronization-{C83DFFFE-389C-4EA5-B0CF-E68CBD6F0D14}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 08:31]
.
.
------- Examen supplémentaire -------
.
IE: Crawler Search - tbr:iemenu
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\Pam administrateure\Application Data\Mozilla\Firefox\Profiles\8jk2p3ad.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\documents and settings\Pam administrateure\Application Data\Mozilla\Firefox\Profiles\8jk2p3ad.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins
p_gp.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13
pGoogleOneClick8.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-23 17:18
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3512)
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2010-06-23  17:20:41
ComboFix-quarantined-files.txt  2010-06-23 21:20

Avant-CF: 161 620 008 960 octets libres
Après-CF: 162 361 311 232 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 0342513E1A116E8B1B7F2C409DFB6F33

phoenixgirl · Answer

Voila Merci et bonne St-Jean!!!

Utilisateur anonyme · Answer

bonjour,

1° Fermer toutes les fenêtres. 
2° Lancer HijackThis, il se trouve ici :

C:\Program Files	rend micro\Pam administrateure.exe 
 
choisir Open the misc tools section, puis choisir l'option Main, s'assurer que "Make backups before fixing items" est activé.
3° selectionne seulement les lignes ci dessous (en les cochant sur la case de gauche de chaque ligne à fixer) :

O8 - Extra context menu item: Crawler Search - tbr:iemenu
 
4° Au menu principal, choisir do a scan only, puis cocher la case devant les lignes à corriger et cliquer en bas sur Fix Checked. 
5° A la fin du Scan, cliquer sur Save log,
le rapport sera généré dans le dossier initialement créé pour installer HijackThis 



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe


. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

phoenixgirl · Answer

Voici le rapport hijack this, je ne sais pas si tu en avait besoin....

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:50:40, on 2010-06-24
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\Program Files\D-Link\DWA-125 revA\ANIWConnService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft IntelliType Pro	ype32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\D-Link\DWA-125 revA\AirGCFG.exe
C:\Program Files\D-Link\DWA-125 revA\WZCSLDR2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Program Files\MediaKey\Versato.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\MediaKey\MePlayer.exe
C:\Program Files\MediaKey\OSD.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\Pam administrateure.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro	ype32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [D-Link D-Link DWA-125] C:\Program Files\D-Link\DWA-125 revA\AirGCFG.exe
O4 - HKLM\..\Run: [WZCSLDR2] C:\Program Files\D-Link\DWA-125 revA\WZCSLDR2.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: APC UPS Status.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: Versato.lnk = C:\Program Files\MediaKey\Versato.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: D_Link_DWA-125 Service (D_Link_DWA-125) - Wireless Service - C:\Program Files\D-Link\DWA-125 revA\ANIWZCSdS.exe
O23 - Service: D_Link_DWA-125_WPS Service (D_Link_DWA-125_WPS) - Unknown owner - C:\Program Files\D-Link\DWA-125 revA\ANIWConnService.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

Utilisateur anonyme · Answer

rapport vu !
passe à MBAM :
https://forums.commentcamarche.net/forum/affich-18227380-infection-trojan-opachki-ru#13

phoenixgirl · Answer

C'était bel et bien en cours, mais il semble que l'ordi est gelé après plus de 50 minutes d'examen alors je relance de ce pas l'examen!! :S

Il y a un élément infecté, mais pour l'instant pas moyen de savoir....

Utilisateur anonyme · Answer

un scan, en fonctionne de la capacité de ton DD, peut aller justqu'à 9 h00 !!!
laisse travailler l'outi  :-)

phoenixgirl · Answer

Ah mais l'ordi était vaiment gelé, ca fesait 20 minutes qu'il était 11h13...

:S

Utilisateur anonyme · Answer

relance le avec un scan rapide :-)

phoenixgirl · Answer

Voila ce que ca me donne:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4233

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-06-24 14:55:41
mbam-log-2010-06-24 (14-55-41).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135305
Temps écoulé: 8 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Il ne semble pas avoir détecté l'élément nuisible qu'il détecte lors de l'examen complet... :S 

J'ai réessayer tout à l'heure et il a encore planté....

mais je tente une autre fois :P

on sait jamais la troisième est peut-être la bonne!!!

Bonne soirée!

Utilisateur anonyme · Answer

lance l'examin complet et on verra  :-

@++

phoenixgirl · Answer

J'ai réessayer et il a de nouveau planté alors je l'ai relancer et je l'ai stoppé au moment où il a détecté le nuisible...

Voilà ce que ca donne:


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4234

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-06-24 21:27:58
mbam-log-2010-06-24 (21-27-58).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 88098
Temps écoulé: 24 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\install_flash_player.exe (Trojan.Downloader) -> No action taken.

Utilisateur anonyme · Answer

supprime le fichier sur lequel, il bute, puis relance le

phoenixgirl · Answer

Est-ce que je peux supprimer un fichier dans Windows sans que ca compromette le bon fonctionnement de mon ordi ou d'internet IE? Le fichier est C:\Windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll

phoenixgirl · Answer

est-ce qu'il faut faire cette analyse en mode sans échec???

gen-hackman · Answer

hello un coup sur VT pour verif ?

phoenixgirl · Answer

ezxuse-moi je ne suis pas sure de comprendre ton intervention... Ca veux dire quoi: un coup sur VT ???

gen-hackman · Answer

electricien t'a pris en charge il va t'expliquer une fois dispo

Utilisateur anonyme · Answer

on va voir s'il s'agit d'un fichier nuisible :-)



Rends toi sur ce site : 
https://www.virustotal.com/gui/ 
clique sur parcourir et cherche ce fichier : 

C:\Windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll


clique sur send file 
un rappoort va s-élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
sauvegarde le rapport avec le bloc note 
copie le dans ton prochain message. 
Merci

phoenixgirl · Answer

Fichier 0969B20F00ED52A3A2E80C43D96E180054B02FEF.dll  reçu le 2009.05.29 13:38:26 (UTC)
Situation actuelle: terminé
Résultat: 0/40 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.0.0.101 	2009.05.29 	-
AhnLab-V3 	5.0.0.2 	2009.05.29 	-
AntiVir 	7.9.0.180 	2009.05.29 	-
Antiy-AVL 	2.0.3.1 	2009.05.27 	-
Authentium 	5.1.2.4 	2009.05.29 	-
Avast 	4.8.1335.0 	2009.05.29 	-
AVG 	8.5.0.339 	2009.05.29 	-
BitDefender 	7.2 	2009.05.29 	-
CAT-QuickHeal 	10.00 	2009.05.29 	-
ClamAV 	0.94.1 	2009.05.29 	-
Comodo 	1199 	2009.05.29 	-
DrWeb 	5.0.0.12182 	2009.05.29 	-
eSafe 	7.0.17.0 	2009.05.27 	-
eTrust-Vet 	31.6.6528 	2009.05.29 	-
F-Prot 	4.4.4.56 	2009.05.29 	-
F-Secure 	8.0.14470.0 	2009.05.29 	-
Fortinet 	3.117.0.0 	2009.05.29 	-
GData 	19 	2009.05.29 	-
Ikarus 	T3.1.1.57.0 	2009.05.29 	-
K7AntiVirus 	7.10.749 	2009.05.29 	-
Kaspersky 	7.0.0.125 	2009.05.29 	-
McAfee 	5629 	2009.05.28 	-
McAfee+Artemis 	5629 	2009.05.28 	-
McAfee-GW-Edition 	6.7.6 	2009.05.29 	-
Microsoft 	1.4701 	2009.05.29 	-
NOD32 	4115 	2009.05.29 	-
Norman 		2009.05.29 	-
nProtect 	2009.1.8.0 	2009.05.29 	-
Panda 	10.0.0.14 	2009.05.29 	-
PCTools 	4.4.2.0 	2009.05.29 	-
Prevx 	3.0 	2009.05.29 	-
Rising 	21.31.21.00 	2009.05.27 	-
Sophos 	4.42.0 	2009.05.29 	-
Sunbelt 	3.2.1858.2 	2009.05.29 	-
Symantec 	1.4.4.12 	2009.05.29 	-
TheHacker 	6.3.4.3.334 	2009.05.29 	-
TrendMicro 	8.950.0.1092 	2009.05.29 	-
VBA32 	3.12.10.6 	2009.05.27 	-
ViRobot 	2009.5.29.1761 	2009.05.29 	-
VirusBuster 	4.6.5.0 	2009.05.28 	-
Information additionnelle
File size: 827904 bytes
MD5   : 4e192082a5fce9ef19198a24cdea3442
SHA1  : 58da7090c597d4f9dfdebdac99dff39cd9c0d966
SHA256: 8b0be81f83ce489f9658d49c486090e60b875573c38df1c7afe56892f68cf6e0
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1784
timedatestamp.....: 0x494D8417 (Sun Dec 21 00:47:35 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9B530 0x9B600 6.58 fbe7201f9bed46e7bd80cd83a50c2a18
.data 0x9D000 0x77F8 0x4200 1.43 49cc843b0da6dd46f64c8dd863103270
.rsrc 0xA5000 0x24D50 0x24E00 4.73 6628601c04ae5ed69c261fd5f0317cf4
.reloc 0xCA000 0x56C4 0x5800 6.73 1702b3bae35cce4b2e1d16a9d73a1720

( 8 imports )

> advapi32.dll: RegDeleteKeyA, RegCreateKeyExW, RegDeleteValueW, RegSetValueExW, RegQueryValueExW, CryptAcquireContextA, CryptGenRandom, CryptReleaseContext, RegOpenKeyA, RegEnumKeyA, TraceEvent, DuplicateTokenEx, ConvertStringSidToSidA, GetLengthSid, SetTokenInformation, CreateProcessAsUserA, ConvertStringSecurityDescriptorToSecurityDescriptorA, GetSidSubAuthorityCount, GetSidSubAuthority, AllocateAndInitializeSid, CheckTokenMembership, FreeSid, RegDeleteValueA, OpenThreadToken, OpenProcessToken, GetTokenInformation, RegOpenKeyExW, UnregisterTraceGuids, RegisterTraceGuidsA, RegQueryInfoKeyW, GetTraceLoggerHandle, GetTraceEnableLevel, GetTraceEnableFlags, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegQueryInfoKeyA, RegEnumKeyExA, RegCloseKey, GetUserNameA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, QueryServiceStatus
> iertutil.dll: -, -, -, -
> kernel32.dll: DosDateTimeToFileTime, GetEnvironmentVariableA, GetShortPathNameA, GetShortPathNameW, FindFirstFileA, RemoveDirectoryA, FindNextFileA, FindClose, GetDiskFreeSpaceExA, CopyFileA, SetFileTime, CreateDirectoryA, GetWindowsDirectoryA, GetSystemDirectoryA, GetPrivateProfileStringA, GetFileAttributesA, SetFileAttributesA, GetFileAttributesExA, FileTimeToDosDateTime, GetFileSizeEx, lstrcmpW, RaiseException, MoveFileExA, MoveFileA, LocalFileTimeToFileTime, CreateSemaphoreA, ReleaseSemaphore, GetCurrentProcessId, GetFileTime, lstrcmpA, GetModuleHandleExA, ResumeThread, FreeLibraryAndExitThread, ExpandEnvironmentStringsA, GetSystemTimeAsFileTime, DeleteFileW, GetACP, InterlockedExchangeAdd, CreateThread, Sleep, OpenMutexA, GetModuleHandleA, FormatMessageA, SetErrorMode, FlushViewOfFile, SystemTimeToFileTime, GetTickCount, TlsFree, TlsGetValue, GetCurrentThreadId, TlsSetValue, TlsAlloc, GetDateFormatA, GetTimeFormatA, GlobalAlloc, InterlockedCompareExchange, GetCurrentThread, GetCurrentProcess, IsDBCSLeadByte, IsValidCodePage, GlobalFree, lstrlenW, DeleteFileA, FormatMessageW, GetSystemTime, WritePrivateProfileStringA, GetVersionExA, GetModuleFileNameA, WriteFile, SetFilePointer, CreateFileW, CreateFileA, GetFileSize, ReadFile, FileTimeToSystemTime, LocalReAlloc, InitializeCriticalSection, InterlockedDecrement, lstrlenA, lstrcmpiA, InterlockedIncrement, DeleteCriticalSection, ResetEvent, LocalFree, ReleaseMutex, CompareStringA, CreateMutexA, CreateEventA, MultiByteToWideChar, WideCharToMultiByte, WaitForSingleObject, OutputDebugStringA, UnmapViewOfFile, SetEndOfFile, MapViewOfFileEx, CreateFileMappingA, OpenFileMappingA, LoadLibraryW, HeapFree, HeapAlloc, GetProcessHeap, GetTimeFormatW, GetDateFormatW, GetUserDefaultLCID, GetModuleFileNameW, GetComputerNameA, LoadResource, FindResourceExW, LocalAlloc, LoadLibraryExW, MapViewOfFile, CreateFileMappingW, GetLocaleInfoW, GetVersionExW, GetSystemDefaultUILanguage, GetUserDefaultUILanguage, FindResourceW, SearchPathW, CreateActCtxW, ReleaseActCtx, ActivateActCtx, DeactivateActCtx, SetFileAttributesW, InitializeCriticalSectionAndSpinCount, WritePrivateProfileStringW, GetFileAttributesW, GetModuleHandleW, GlobalUnlock, GlobalLock, QueryPerformanceCounter, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDBCSLeadByteEx, GetProcAddress, LoadLibraryA, FreeLibrary, SetEvent, InterlockedExchange, CloseHandle, GetLastError, SetLastError, EnterCriticalSection, LeaveCriticalSection, CompareStringW
> msvcrt.dll: _isatty, _write, _lseeki64, _fileno, __pioinfo, __badioinfo, wctomb, _itoa, _snprintf, _iob, isleadbyte, _onexit, _lock, __dllonexit, _unlock, _adjust_fdiv, _amsg_exit, _initterm, _XcptFilter, islower, __isascii, strtol, memmove, strrchr, atoi, realloc, free, malloc, wcstok, _vsnprintf, memcpy, memset, _vsnwprintf, wcsncmp, bsearch, _wcsnicmp, _wtoi, _wcsicmp, isupper, strncmp, wcsstr, _purecall, _mbstok, iscntrl, ispunct, strtoul, time, iswdigit, isalpha, atol, isalnum, _errno, isspace, strpbrk, isdigit, isxdigit, memchr
> normaliz.dll: IdnToUnicode, IdnToAscii
> ntdll.dll: RtlConvertSidToUnicodeString, RtlUnwind, RtlMoveMemory
> shlwapi.dll: SHRegGetValueW, PathAddBackslashW, -, SHRegGetValueA, StrRChrW, PathRemoveBackslashA, PathRemoveFileSpecA, -, PathRemoveBlanksA, PathAddBackslashA, -, PathAppendA, -, PathUnExpandEnvStringsA, PathRenameExtensionA, SHDeleteKeyA, SHDeleteValueW, StrCmpNIW, StrCmpNIA, StrStrA, -, StrChrW, StrChrA, -, -, UrlCombineW, UrlCanonicalizeW, -, PathCreateFromUrlW, UrlUnescapeA, UrlCombineA, UrlCanonicalizeA, StrToIntW, StrCmpW, StrCmpNA, StrRChrA, StrToIntA, StrStrIW, SHGetValueA, SHSetValueA, SHGetValueW, SHSetValueW, -, -, PathCombineW, PathFindFileNameW, StrStrIA
> user32.dll: CheckDlgButton, SendMessageW, SendMessageA, IsDlgButtonChecked, DefWindowProcA, SetWindowLongA, GetWindowLongA, RegisterClassW, CreateWindowExW, SetTimer, GetWindowTextW, MessageBoxW, CharNextA, GetWindowInfo, CharToOemA, CharUpperA, CharLowerW, IsCharAlphaNumericA, GetWindowThreadProcessId, EnumChildWindows, IsWindowVisible, GetAncestor, EnumWindows, CharNextExA, PostMessageA, IsWindow, SetWindowPos, SetDlgItemTextW, DestroyIcon, SetForegroundWindow, GetWindow, GetWindowRect, EqualRect, IntersectRect, EndDialog, SetFocus, GetDlgItem, SetWindowTextW, EnableWindow, KillTimer, FindWindowW, RegisterWindowMessageW, PostMessageW, DestroyWindow, LoadStringW, DialogBoxParamW, GetDesktopWindow, SendDlgItemMessageA, LoadIconA, LoadImageA, LoadStringA, CharLowerA

( 1 exports )

> CommitUrlCacheEntryA, CommitUrlCacheEntryW, CreateMD5SSOHash, CreateUrlCacheContainerA, CreateUrlCacheContainerW, CreateUrlCacheEntryA, CreateUrlCacheEntryW, CreateUrlCacheGroup, DeleteIE3Cache, DeleteUrlCacheContainerA, DeleteUrlCacheContainerW, DeleteUrlCacheEntry, DeleteUrlCacheEntryA, DeleteUrlCacheEntryW, DeleteUrlCacheGroup, DetectAutoProxyUrl, DispatchAPICall, DllInstall, FindCloseUrlCache, FindFirstUrlCacheContainerA, FindFirstUrlCacheContainerW, FindFirstUrlCacheEntryA, FindFirstUrlCacheEntryExA, FindFirstUrlCacheEntryExW, FindFirstUrlCacheEntryW, FindFirstUrlCacheGroup, FindNextUrlCacheContainerA, FindNextUrlCacheContainerW, FindNextUrlCacheEntryA, FindNextUrlCacheEntryExA, FindNextUrlCacheEntryExW, FindNextUrlCacheEntryW, FindNextUrlCacheGroup, ForceNexusLookup, ForceNexusLookupExW, FreeUrlCacheSpaceA, FreeUrlCacheSpaceW, FtpCommandA, FtpCommandW, FtpCreateDirectoryA, FtpCreateDirectoryW, FtpDeleteFileA, FtpDeleteFileW, FtpFindFirstFileA, FtpFindFirstFileW, FtpGetCurrentDirectoryA, FtpGetCurrentDirectoryW, FtpGetFileA, FtpGetFileEx, FtpGetFileSize, FtpGetFileW, FtpOpenFileA, FtpOpenFileW, FtpPutFileA, FtpPutFileEx, FtpPutFileW, FtpRemoveDirectoryA, FtpRemoveDirectoryW, FtpRenameFileA, FtpRenameFileW, FtpSetCurrentDirectoryA, FtpSetCurrentDirectoryW, GetUrlCacheConfigInfoA, GetUrlCacheConfigInfoW, GetUrlCacheEntryInfoA, GetUrlCacheEntryInfoExA, GetUrlCacheEntryInfoExW, GetUrlCacheEntryInfoW, GetUrlCacheGroupAttributeA, GetUrlCacheGroupAttributeW, GetUrlCacheHeaderData, GopherCreateLocatorA, GopherCreateLocatorW, GopherFindFirstFileA, GopherFindFirstFileW, GopherGetAttributeA, GopherGetAttributeW, GopherGetLocatorTypeA, GopherGetLocatorTypeW, GopherOpenFileA, GopherOpenFileW, HttpAddRequestHeadersA, HttpAddRequestHeadersW, HttpCheckDavCompliance, HttpEndRequestA, HttpEndRequestW, HttpOpenRequestA, HttpOpenRequestW, HttpQueryInfoA, HttpQueryInfoW, HttpSendRequestA, HttpSendRequestExA, HttpSendRequestExW, HttpSendRequestW, IncrementUrlCacheHeaderData, InternetAlgIdToStringA, InternetAlgIdToStringW, InternetAttemptConnect, InternetAutodial, InternetAutodialCallback, InternetAutodialHangup, InternetCanonicalizeUrlA, InternetCanonicalizeUrlW, InternetCheckConnectionA, InternetCheckConnectionW, InternetClearAllPerSiteCookieDecisions, InternetCloseHandle, InternetCombineUrlA, InternetCombineUrlW, InternetConfirmZoneCrossing, InternetConfirmZoneCrossingA, InternetConfirmZoneCrossingW, InternetConnectA, InternetConnectW, InternetCrackUrlA, InternetCrackUrlW, InternetCreateUrlA, InternetCreateUrlW, InternetDial, InternetDialA, InternetDialW, InternetEnumPerSiteCookieDecisionA, InternetEnumPerSiteCookieDecisionW, InternetErrorDlg, InternetFindNextFileA, InternetFindNextFileW, InternetFortezzaCommand, InternetGetCertByURL, InternetGetCertByURLA, InternetGetConnectedState, InternetGetConnectedStateEx, InternetGetConnectedStateExA, InternetGetConnectedStateExW, InternetGetCookieA, InternetGetCookieExA, InternetGetCookieExW, InternetGetCookieW, InternetGetLastResponseInfoA, InternetGetLastResponseInfoW, InternetGetPerSiteCookieDecisionA, InternetGetPerSiteCookieDecisionW, InternetGetSecurityInfoByURL, InternetGetSecurityInfoByURLA, InternetGetSecurityInfoByURLW, InternetGoOnline, InternetGoOnlineA, InternetGoOnlineW, InternetHangUp, InternetInitializeAutoProxyDll, InternetLockRequestFile, InternetOpenA, InternetOpenUrlA, InternetOpenUrlW, InternetOpenW, InternetQueryDataAvailable, InternetQueryFortezzaStatus, InternetQueryOptionA, InternetQueryOptionW, InternetReadFile, InternetReadFileExA, InternetReadFileExW, InternetSecurityProtocolToStringA, InternetSecurityProtocolToStringW, InternetSetCookieA, InternetSetCookieExA, InternetSetCookieExW, InternetSetCookieW, InternetSetDialState, InternetSetDialStateA, InternetSetDialStateW, InternetSetFilePointer, InternetSetOptionA, InternetSetOptionExA, InternetSetOptionExW, InternetSetOptionW, InternetSetPerSiteCookieDecisionA, InternetSetPerSiteCookieDecisionW, InternetSetStatusCallback, InternetSetStatusCallbackA, InternetSetStatusCallbackW, InternetShowSecurityInfoByURL, InternetShowSecurityInfoByURLA, InternetShowSecurityInfoByURLW, InternetTimeFromSystemTime, InternetTimeFromSystemTimeA, InternetTimeFromSystemTimeW, InternetTimeToSystemTime, InternetTimeToSystemTimeA, InternetTimeToSystemTimeW, InternetUnlockRequestFile, InternetWriteFile, InternetWriteFileExA, InternetWriteFileExW, IsHostInProxyBypassList, IsUrlCacheEntryExpiredA, IsUrlCacheEntryExpiredW, LoadUrlCacheContent, ParseX509EncodedCertificateForListBoxEntry, PrivacyGetZonePreferenceW, PrivacySetZonePreferenceW, ReadUrlCacheEntryStream, RegisterUrlCacheNotification, ResumeSuspendedDownload, RetrieveUrlCacheEntryFileA, RetrieveUrlCacheEntryFileW, RetrieveUrlCacheEntryStreamA, RetrieveUrlCacheEntryStreamW, RunOnceUrlCache, SetUrlCacheConfigInfoA, SetUrlCacheConfigInfoW, SetUrlCacheEntryGroup, SetUrlCacheEntryGroupA, SetUrlCacheEntryGroupW, SetUrlCacheEntryInfoA, SetUrlCacheEntryInfoW, SetUrlCacheGroupAttributeA, SetUrlCacheGroupAttributeW, SetUrlCacheHeaderData, ShowCertificate, ShowClientAuthCerts, ShowSecurityInfo, ShowX509EncodedCertificate, UnlockUrlCacheEntryFile, UnlockUrlCacheEntryFileA, UnlockUrlCacheEntryFileW, UnlockUrlCacheEntryStream, UpdateUrlCacheContentPath, UrlZonesDetach, _GetFileExtensionFromUrl
TrID  : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ssdeep: 12288:qVgiwT2rOfPTGtygaESSXZ8r5FYqzVCWFNW5+fFRoLkMMIMMutuEZ:2DATya9RYqzS5mFRoLkMMIMMu
PEiD  : -
RDS   : NSRL Reference Data Set

phoenixgirl · Answer

Je n'ai pas été capable de trouver de moi-même le fichier et la recherche de Windows non plus, mais j'ai simplement copier l'emplacement dans Parcourir et ca a marché !!??!

Cependant je ne sais pas si Mbam bug tjrs sur ce fichier-là parce que je n'ai pris note qu'une seule fois sur lequel il avait planté...

Utilisateur anonyme · Answer

c'est un fichier légitime de windows  :-)

relance MBAM, fais une mise à jour et lance un sacn rapide, s'il trouve des choses, mets tout en quarantaine, poste son rapport

phoenixgirl · Answer

En scan rapide il ne détecte rien du tout:



mais en scan complet il détecte 1 élément et il plante sans arrêt environ après une heure d'analyse.,...

l'autre jour j'ai suspendu et voici ce qu'il avait trouvé:

Fichier(s) infecté(s):
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\install_flash_player.exe (Trojan.Downloader) -> No action taken.

Utilisateur anonyme · Answer

tous tes problèmes viennent de ce répertoir :
C:\Documents and Settings\Propriétaire\Mes documents\Téléchargements

supprime  install_flash_player.exe et relance MBAM en scan complet

phoenixgirl · Answer

Ya vraiment rien à faire.... 

Même le fichier supprimer, MBAM plante lorsqu'il arrive dans les fichiers légitimes de Windows... 

cette fois avec C:\Windows\$hf_mig$\KB961260\update\update.ver 

je ne sais pas si le nom est incomplet, mais je n'ai pas été capable de l'analyser avec VT avec cette entrée comme j'avais pu le faire pour l'autre fichier windows... 

en tout cas, pour l'instant je suis dans l'incapacité de mener à terme une analyse complète avec MBAM

en attente d'une autre solution??....

Utilisateur anonyme · Answer

bonjour,
si MBAM ne veut pas fonctionner, on passe à autre chose :

Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip

* Dézipper le programme. 
* Double cliquer sur Gmer.exe 
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan 
(il s'agit de l'onglet : Rootkit/Malware). 


=> Des lignes rouges doivent apparaître en cas d'infection : 

* sur ces lignes rouges: 
o Services: Clique droit puis delete service 
o Process: Clique droit puis kill process 
o Adl, file: Clique droit puis delete files

Tuto : https://www.malekal.com/tutorial-gmer/

phoenixgirl · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-01 12:19:52
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\PAMADM~1\LOCALS~1\Temp\uwxorpoc.sys


---- System - GMER 1.0.15 ----

SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwClose [0xEB24D606]
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwConnectPort [0xEB2C4040]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwCreateFile [0xEB24D05A]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwCreateKey [0xEB24CD3C]
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwCreatePort [0xEB2C4510]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwCreateSection [0xEB24E652]
SSDT    F7BEE2B4                                                                                            ZwCreateThread
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwCreateWaitablePort [0xEB2C4600]
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwDeleteFile [0xEB2C0F20]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwDeleteKey [0xEB24CE46]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwDeleteValueKey [0xEB24CF30]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwLoadDriver [0xEB24D8CC]
SSDT    F7BEE2D2                                                                                            ZwLoadKey
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwOpenFile [0xEB24D362]
SSDT    F7BEE2A0                                                                                            ZwOpenProcess
SSDT    F7BEE2A5                                                                                            ZwOpenThread
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwRenameKey [0xEB2CD250]
SSDT    F7BEE2DC                                                                                            ZwReplaceKey
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwRequestWaitReplyPort [0xEB2C3C00]
SSDT    F7BEE2D7                                                                                            ZwRestoreKey
SSDT    \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)                         ZwSetInformationFile [0xEB2C1120]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwSetValueKey [0xEB24CBBA]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwTerminateProcess [0xEB24D814]
SSDT    \??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys                                                       ZwWriteFile [0xEB24D494]

---- Kernel code sections - GMER 1.0.15 ----

?       srescan.sys                                                                                         Le fichier spécifié est introuvable. !
.text   C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                            section is writeable [0xF542A380, 0x346307, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text   C:\WINDOWS\system32\SearchIndexer.exe[680] kernel32.dll!WriteFile                                   7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)
.text   C:\Program Files\Mozilla Firefox\firefox.exe[3484] ntdll.dll!LdrLoadDll                             7C9263C3 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT     \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                            [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisOpenAdapter]                                 [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisCloseAdapter]                                [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERSaspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                          [EB2C8E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                            [EB2C8E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                              [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                   [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                                  [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                             [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                           [EB2C8E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                                 [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                                  [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisCloseAdapter]                                   [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisOpenAdapter]                                    [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS	cpip.sys[NDIS.SYS!NdisRegisterProtocol]                               [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                            [EB2C8E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                              [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                   [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                  [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisRegisterProtocol]                             [EB2C8CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisDeregisterProtocol]                           [EB2C8E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisCloseAdapter]                                 [EB2C9320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT     \SystemRoot\system32\DRIVERS
disuio.sys[NDIS.SYS!NdisOpenAdapter]                                  [EB2C91C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- User IAT/EAT - GMER 1.0.15 ----

IAT     C:\WINDOWS\Explorer.EXE[3188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]           [00C42F20] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [00C42C90] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]                [00C42CF0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)
IAT     C:\WINDOWS\Explorer.EXE[3188] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]      [00C42CC0] C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device  \Driver\Tcpip \Device\Ip                                                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\Tcp                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\Udp                                                                           vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\RawIp                                                                         vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device  \Driver\Tcpip \Device\IPMULTICAST                                                                   vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

---- EOF - GMER 1.0.15 ----

phoenixgirl · Answer

RAS

tout semble correcte selon le logiciel gmer, il n'a rien détecté : - D

Utilisateur anonyme · Answer

repasse un autre rsit, aide toi de ce poste pour héberger son rapport sur cojoint ;

https://forums.commentcamarche.net/forum/affich-18227380-infection-trojan-opachki-ru?full#4

phoenixgirl · Answer

Voilà; il se trouve ici: http://www.cijoint.fr/cjlink.php?file=cj201007/cijuV9yOei.txt

Chose curieuse, il n'y avait pas de rapport info.txt comme la dernière fois, seulement le rapport log.txt...  Est-ce normal??? Je l'ai effectué 2 fois et chaque fois il n'y en avait pas....

Utilisateur anonyme · Answer

au deuxiàme passage de rsit, il n'y a qu'un seul rapport  :-)

désinstalle ces programmes via ajout suppression de programmes :

C:\Program Files\Spyware Terminator
C:\Program Files\McAfee Security Scan


essaie de relancer MBAM après la désinstallation

phoenixgirl · Answer

J'ai supprimer les programmes et j'ai lancer MBAM  et il a planté à trois reprises sur le même fichier qu'avant  :S

Je vais réessayer en mode sans échec mais ca n'avait rien changer la dernière fois.... mais sait-on jamais!!

Utilisateur anonyme · Answer

ok, 
j'attends des nouvelles  :-)

phoenixgirl · Answer

Malheureusement, ca ne fonctionne pas non plus... :(

Utilisateur anonyme · Answer

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

phoenixgirl · Answer

voilà, c'est fait:

http://www.cijoint.fr/cjlink.php?file=cj201007/cij2UZFo0h.txt

Utilisateur anonyme · Answer

bonjour,


* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse



*	Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


repasse un autre zhpdiag 

@++

phoenixgirl · Answer

Rapport de ZHPFix v1.12.3116 par Nicolas Coolman, Update du 05/07/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-2010-07-06-08-14-18.txt 
Run by Pam administrateure at 2010-07-06 08:14:18 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Elément de données du Registre ========== 
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified  => Donnée supprimée avec succès 


========== Récapitulatif ========== 
1 : Elément de données du Registre 


End of the scan


2E ÉTAPE:

La première fois il semble ne pas avoir marché.... J'ai eu un message d'erreur indiquant: JavaRa a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

lorsque j'ai relancé, le rapport est aussitôt apparu:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Jul 06 08:19:07 2010

Found and removed: C:\Program Files\Java\jre1.6.0_03

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: C:\Documents and Settings\Pam administrateure\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\Documents and Settings\Pam administrateure\Application Data\Sun\Java\jre1.6.0_16

Found and removed: C:\Documents and Settings\Pam administrateure\Application Data\Sun\Java\jre1.6.0_17

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

Found and removed: Software\Classes\JavaPlugin.160_03

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_07

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610007

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160070}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Tue Jul 06 08:20:37 2010

------------------------------------

Finished reporting.

phoenixgirl · Answer

3e étape:

le 2e rapport zhpdiag est ici:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijJvjbE2L.txt

Utilisateur anonyme · Answer

*	Pour désinstaller les outils de désinfection qu'on a utilisés :

Telecharge ToolsCleaner2
--> http://pc-system.fr/
-Une fois téléchargé, installe-le et lance-le 
-Clique sur Recherche et laisse le scan se terminer 
-Clique sur SUPPRESSION 
-Clique sur Quitter pour que le rapport puisse se créer 
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils restent sur ton pc, il faut les supprimer manuellement

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information


fais une mise à jour d'avira, configure le comme ceci, puis lance un scan complet de ton pc, colle son rapport sur ton prochain message :

*	Configuration de Antivir : 
 
clic droit sur son icône dans la barre des taches et sélectionner Configurer Antivir.

cocher la case : Mode Expert( en haut à gauche de la fenêtre).. 

=> Cliquer sur Scanner dans le volet de gauche : 

> Dans "Fichiers" sélectionner Tous les fichiers. 

> Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" sélectionner Moyen. 

> Dans "Autres réglages" cocher toutes les cases. 

/!\NE SURTOUT PAS OUBLIER DE COCHER "RECHE. ROOTKIT AU DEM. DE LA RECHERCHE" (la case à droite de cette fenêtre) 

=> Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment. 

=> Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" : 

> Cocher "Heuristique" avec degré d'indentification MOYEN ! 

=> Dans le volet de gauche, dérouler "Guard" : 
coche : contrôler pendant la lecture et l'écriture, puis  à côté : tous les fichiers.
aide en images :
https://www.commentcamarche.net/faq/16831-tutoriel-configuration-optimale-d-antivir-personal#2-la-configuration


Tuto configuration en vidéo (merci à Nico pour la vidéo) :
http://sd-1.archive-host.com/membres/up/829108531491024/video-Antivir.zip

phoenixgirl · Answer

Toolscleaner:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pam administrateure\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Pam administrateure\Bureau\Gmer.zip: trouvé !
C:\Documents and Settings\Pam administrateure\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Pam administrateure\Local Settings\Temp\_AZTMP0_\Exec\Gmer.exe: trouvé !
C:\Documents and Settings\Pam administrateure\Mes documents\Téléchargements\Gmer.zip: trouvé !
C:\Documents and Settings\Pam administrateure\Mes documents\Téléchargements\HJTInstall.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pam administrateure\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Pam administrateure\Bureau\Gmer.zip: supprimé !
C:\Documents and Settings\Pam administrateure\Local Settings\Temp\_AZTMP0_\Exec\Gmer.exe: supprimé !
C:\Documents and Settings\Pam administrateure\Mes documents\Téléchargements\Gmer.zip: supprimé !
C:\Documents and Settings\Pam administrateure\Mes documents\Téléchargements\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Pam administrateure\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

phoenixgirl · Answer

Alors si je comprend bien je dois supprimer manuellement (avec ajout-suppression de programme) Combofix, JavaRa ZHPDiag 

et est-ce que j'enlève MBAM?? 

Merci!

J'ai supprimer zhp par ajout-supp de prog mais il est toujours sur le bureau est-ce qu'une simple suppression des icône sur le bureau suffit à les enlever???

les autres ne sont pas dans l'ajout/supp de prog le supprimer en enlever les icônes??

Utilisateur anonyme · Answer

supprime Combofix, java ra et Zhpdiag, mais conserve, si tu le veux, MBAM
passe un scan avec Avira après avoir fais uen mise à jour et le configuré comme je te l'ai indiqué  :-)

phoenixgirl · Answer

Aviva a détecté quelques documents infectés...  mais il planté lui aussi....

Je l'ai essayé en mode sans échec aussi mais rien à faire! 

je réessaie une 3eme fois, on verra bien

il y avait je crois 3 avertissements et 8 résultats positifs

en attente de la fin potentielle du scan de Aviva

Utilisateur anonyme · Answer

bonjour, je ne suis pas sur qu'il s'agit d'une infection, mais on va voir, * Télécharge Dr Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse Mak ne va pas être content, mdr !!!

phoenixgirl · Answer

MDR!!!!

phoenixgirl · Answer

Le scan complet est en cours d'exécution... a son tout début encore

mais il a trouvé un fichier HOST modifié dans l'analyse rapide alors je ne sais pas, j'attends la conclusion du scan complet   : )

Utilisateur anonyme · Answer

on verra sur le rapport  :-)

phoenixgirl · Answer

On dirais qu'il plante lui aussi  : S 

ca fait plusieurs heures qu'il est sur le même fichier!!! 

Qu'est-ce que t'en pense, je redémarre en mode sans échec et je recommence ou j'attend???

Utilisateur anonyme · Answer

oui, lance le en MSE  :-)

phoenixgirl · Answer

Ca ne fonctionne pas GRRRR!

Je l'ai lancé a deux reprises en MSE et l'ordi fini par redémarré tout seul ( avant la fin de l'analyse rapide) sans qu'il n'y ait de rapport de générer

 et j'ai réessayer en mode normal et ca a fait la meme chose mais en pendant l'analyse complète cette fois... 

Je suis plutôt embêtée

Qu'est-ce qu'on fait maintenant????????

Utilisateur anonyme · Answer

bonjour,
Mak ne va pas être content de nouveau  :P

surrpime Dr web,

*	Télécharge Zeb-Restore : 
http://telechargement.zebulon.fr/zeb-restore.html 
Mets le dans un dossier, sur ton bureau par exemple. 
Lance Zebrestore et coche la/les case(s) suivante(s) : 

RegEdit 
Clés RUN 
Bouton Arrêter 
Gestionnaire des tâches 
Panneau de configuration 

Bureau 
Réparation IE 
Sites de confiance et sensibles 
Préfixes et Protocoles Internet 
Ajout/Suppression de programmes 

Policies 
Fichier Hosts 
Windows Update 
Extension des fichiers 
Restauration du système 


Ne coche que la/les case(s) indiquée(s). 
Clique sur le bouton <Restaurer>. 
Quitte le programme.


refais une autre mise à jour d'avira, lance un autre scan, poste son rapport sur ton prochain message

je file bosse, @ ce soir  :-)

phoenixgirl · Answer

Erreur!!!  

Zeb-Restore marque une erreur Run-time '75': Path/File access error  

C'est de mieux en mieux : P 

mais il a généré des dossiers de back-up par exemple...

J'ai tout de même  tenter le scan avec Avira, mais évidemment il a planté : P

alors j'ai dû redémarrer et au redémarrage il n'y avait plus d'image sur mon Bureau j'en conclu que le Zeb-Restore a fonctionner....  en parti....

J'ai alors réessayer et ca n'a pas fonctionner...

J'attends tes prochaines instructions!

Bonne journée!!

Utilisateur anonyme · Answer

il faut peut être lancer une réparation de windows avec un cd !
windows doit être en partie endommagé !
je vais consulter les amis du forum windows, on verra ce qu'il disent  :-)

donne moi le nom du fichier sur lequel, MBAM bute s'il te plait  :-)

phoenixgirl · Answer

MBAM bute sur celui-là: 

C:\Windows\$hf_mig$\KB961260\update\update.ver  

mais Avira bute sur celui-là: 

C:\Windows\$hf_mig$\KB961260-IE7\update\updspapi.dll ok vérifier

Utilisateur anonyme · Answer

Mak ne va pas être content, encore une fois de plus !!!  mdr

j'ai peut être trouvé une solution, à verifier

*	Télécharge FindyKill sur le Bureau (Merci à l'équipe FYK) : 
http://findykill.changelog.fr/Setup.exe 
ou 
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
* Double-cliquez sur FindyKill présent sur le Bureau. 
* Choisis l'option F pour la langue
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil. 
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
* Tuto : http://pagesperso-orange.fr/NosTools/index.html

phoenixgirl · Answer

############################## | FindyKill V5.045 |

# User : Pam administrateure (Administrateurs) # UTILISAT-F84E21
# Update on 23/06/2010 by El Desaparecido
# Start at: 13:18:42 | 2010-07-09
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3700+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 232,88 Go (157,58 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.045 ! |



voilà!!

Merci infiniment à vous tous!!

(ENFIN QUELQUE CHOSE QUI VA JUSQU'AU BOUT!! MDR!)

Utilisateur anonyme · Answer

relance FYK en option 2 et poste son rapport

phoenixgirl · Answer

############################## | FindyKill V5.045 |

# User : Pam administrateure (Administrateurs) # UTILISAT-F84E21
# Update on 23/06/2010 by El Desaparecido
# Start at: 17:21:06 | 2010-07-09
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 Processor 3700+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 232,88 Go (157,54 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible

################## | Eléments infectieux |

Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf 

################## | MD5 ... |


################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_UTILISAT-F84E21.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.045 ! |

PS J'ai envoyer le fichier comme inscrit!

Utilisateur anonyme · Answer

bonjour,
Merci pour ta contribution pour le fichier de FYK  :-)

relance MBAM, refais une mise à jour et lance un scan complet, on verra s'il plante encore :-)

phoenixgirl · Answer

Salut!! 

J'ai une mauvaise nouvelle il plante encore sur un fichier:

C:\Windows\$hf_mig$\KB961260-IE7\SP2QFE\wininet.dll

Utilisateur anonyme · Answer

Télécharge DeFogger de Jpshortstuff sur ton Bureau :

http://www.jpshortstuff.247fixes.com/Defogger.exe
Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista), 
La fenêtre de DeFogger apparait, 
Clique sur Disable pour désactiver les drivers d'émulateurs CD, 
Clique sur Yes pour continuer, 
Un message "Finished" apparaîtra, 
Clique sur OK, 
DeFogger va demander de redémarrer le pc, 
Ne réactive pas les drivers avant que te le demande.

puis lance MBAM en recherche rapide !

phoenixgirl · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4305

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-07-12 09:28:23
mbam-log-2010-07-12 (09-28-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147748
Temps écoulé: 8 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

il doit avoir une explication au niveau de la version de windows, mais ce qui compte ce que ton pc ne soit pas infecté  ;-)

phoenixgirl · Answer

C'est un Windows XP

Oui c'est sûr je suis bien contente qu'il ne le soit pas!!!

Question en passant tandis qu'on parle de la version de Windows : Est-ce que je peux installer Windows 7 sur cet ordinateur avec le cd qui viens d'un autre ordi que je me suis achater il n'y a pas longtemps??

Utilisateur anonyme · Answer

bonjour,
tu peux installer, à condition qu'il ne s'agit pas d'un pc de marque, dont pas de CD Master, car sur les pc de marque, il mette les pilotes et le système d'exploitation en lancement depuis le cd !

si tu arrives tout simplement d'installer Seven, c'est bon, reste à trouver les pilotes de ton materiel déjà installés sur le pc, ceci n'est pas gagné d'avance !

d'autre chose, vérifie sur la pochette du CD de Seven, la configuration minimum requise :-)

phoenixgirl · Answer

Alors miantenant ca va si je clique sur Re-enable dans le De Fogger???

Utilisateur anonyme · Answer

pas besoin, il arrête les pilotes de Daemon tool, qui empêchesnt le fonctionnement des outils de désinfection , ça n'a rien avoir  :-)
tu peut même le virer !

Utilisateur anonyme · Answer

bonjour,
pour le moment, pour les bug, je me renseigne, je t'en dirais plus si j'ai des retours !
mais avec la période de congés, ça va pas être simple !

je ne sais pas s'il s'agit d'un problème lié à Windows ou l'outil !

:-)

Utilisateur anonyme · Answer

je ne eux pas te dire le temps que ça prendra !

tout le monde est en congé :-)

phoenixgirl · Answer

Salut!!!

Toujours là???

C'était bien les vacances???

Je voulais simplement t'informer que j'avais toujours du mal à faire les mises à jour de mon Avira et que je ne peut pas faire un scan complet sans que ca plante tout mon système....

en tout cas merci pour l'aide que tu m'a apporté!!

Utilisateur anonyme · Answer

bonjour,
de retours dans la civilisation  :-)

alors, on en étions nous ?

phoenixgirl · Answer

MDR!

On tentait de trouver une solution aux nombreux bogs des logiciels de sécurité Avira et MB, incpable de faire un scan complet sans que l'ordi gèle et que je doive redémarrer pour effectuer quelconque autre tâche...

voilà où nous en étions et aussi, je voulais te dire que je suis maintenant incapable de faire les mises à jour de ni l'un ni l'autre de ces 2 programmes...

Voilà!!  «bien contente de reparler aussi : - )

Utilisateur anonyme · Answer

bonsoir,
par rapport à ce problème, je n'ai pas eu plus d'information qu'avant :-(

essaie de désinnstaller MBAM, supprime son répertoire manuellement, puis le réinstaller et lancer une mise à jour, 
on verra ce que ça donne  :-)

as tu décidé d'installer Seven sur ton pc ?

Infection trojan Opachki.ru

80 réponses

Discussions similaires