Gros ralentissement, infection ou pas? Résolu/Fermé

Question

Bonjour,   

J'ai constaté un fort ralentissement général ces derniers jours. Je me suis donc atelé à scanner mon pc de fond en comble avec mon antivirus (Bitdefender free edition), et avec Malwarebytes anti-Malware en ayant bien entendu verifié les MàJ auparavant.   
Apparemment aucune infection, mais je ne suis pas experte et vous demande donc votre aide =)  

Voiçi un rapport Hijackthis:  

Logfile of Trend Micro HijackThis v2.0.2  
Scan saved at 17:09:54, on 28/06/2010  
Platform: Windows XP SP3 (WinNT 5.01.2600)  
MSIE: Internet Explorer v8.00 (8.00.6001.18702)  
Boot mode: Normal  

Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32
vsvc32.exe  
C:\WINDOWS\system32\svchost.exe  
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe  
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe  
c:\APPS\Powercinema\Kernel\TV\CLSched.exe  
c:\APPS\HIDSERVICE\HIDSERVICE.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\Java\jre6\bin\jqs.exe  
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE  
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  
C:\WINDOWS\system32\svchost.exe  
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe  
C:\WINDOWS\system32\SearchIndexer.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE  
C:\WINDOWS\ALCWZRD.EXE  
C:\apps\ABoard\ABoard.exe  
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe  
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  
C:\apps\ABoard\AOSD.exe  
C:\WINDOWS\system32\RUNDLL32.EXE  
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe  
C:\WINDOWS\system32\ctfmon.exe  
C:\Program Files\SFR\Kit\9props.exe  
C:\WINDOWS\system32\wbem\wmiapsrv.exe  
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe  
C:\WINDOWS\system32\SearchProtocolHost.exe  
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe  

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp  
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll  
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll  
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll  
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll  
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe  
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"  
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE  
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe  
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot  
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"  
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet  
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit  
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"  
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent  
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe  
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\SFR\Kit\9props.exe" /trayicon  
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files
euf telecom
euf Box\Wizard\QuickAccess.exe  
O4 - HKCU\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /M "Stylus CX6600" /EF "HKCU"  
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')  
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')  
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')  
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')  
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll  
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing  
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab  
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab  
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab  
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB  
O16 - DPF: {48DD0448-9209-4F81-9F6D-D83562940134} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader1006.cab  
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/mjss/MJSS.cab109791.cab  
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gny95.spaces.live.com//PhotoUpload/MsnPUpld.cab  
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab  
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/...  
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab  
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...  
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...  
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://gny95.spaces.live.com/PhotoUpload/MsnPUpld.cab  
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab  
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab  
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://securite.neuf.fr/Ols/fscax.cab  
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab  
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab  
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab  
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab  
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab  
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab  
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe (file missing)  
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe  
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe  
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe  
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe  
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe  
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe  
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe  
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe  
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe  
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)  
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe  
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe  
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)  

End of file - 11151 bytes  




Je vous remercie d'avance pour votre aide  

Gny13.  



Configuration: Configuration: Windows XP / Internet Explorer 7.0

Destroyer · Answer

Bonjour, 


Afin d'aider les spécialistes dans la désinfection si elle l'est vraiment, suis les instructions de ce site : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

Gny13 · Answer

Merci pour votre réponse Destroyer, mais ZHPDiag ne fonctionne pas. Après installation je le lance et reçois le message d'erreur suivant: 

______________________________________________________________ 
Impossible d'exécuter le fichier: c:\Program files\ZHPDiag\ZHPDiag.exe 

Create process a échoué ; code 14001. 
Cette application n'a pas pu démarrer car la configuration de l'application est incorrecte. Réinstaller l'application pourrait résoudre ce problème. 
______________________________________________________________ 

J'ai effectivement désinstallé et réinstaller ZHPDiag mais toujours le même soucis.

archet9 · Answer

Bonsoir Gny13, 

Ton scan hijack ne montre rien de particulier ! 

Utilise cet autre outil de diagnostic plus complet que hijackthis. 

Télécharge RSIT (de random/random) sur le bureau : 

- Double clique sur RSIT.exe qui est sur le bureau 
- Clique sur "Continue" dans la fenêtre 
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence 
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse . 
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/ 
et colle le lien généré. 
Les rapports sont dans le dossier ici C:\rsit 
a+ 


........

Gny13 · Answer

Bonsoir Archet9, 

merci beaucoup pour ta réponse, j'ai téléchargé RSIT et voiçi donc le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijVUMt3OR.rtf

archet9 · Answer

* Désinstalle correctement les traces de Norton toujours présentes sur ton pc: 
http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20050414110429924 

* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)  

https://www.ionos.fr/?affiliate_id=77097  

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Usbfix située sur ton Bureau.  
- Sur la page, clique sur le bouton :  

  
suppression  


/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir  

- puis clique sur OK  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  
le rapport se trouve sur C:\ UsbFix.txt  
........

Gny13 · Answer

Voiçi donc le rapport de UsbFix :


############################## | UsbFix 7.014 | [Suppression]

Utilisateur: Daghari (Administrateur) # pbell [ ]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 20:24:16 | 28/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) 4 CPU 2.93GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Antivirus BitDefender  12.0 [(!) Disabled | Updated]
Firewall: Pare-feu BitDefender  12.0 [(!) Disabled]
RAM -> 1023 Mo 
C:\ (%systemdrive%) -> Disque fixe # 102 Go (79 Go libre(s) - 78%) [HDD] # NTFS
D:\ -> Disque fixe # 79 Go (8 Go libre(s) - 10%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
L:\ -> CD-ROM

################## | Éléments infectieux |

Non supprimé ! G:\Autorun.inf

################## | Registre |

Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\policies\System|DisableTaskMgr
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{673e7bdf-ceb1-11de-bf40-000fead91951}

################## | Listing |

[09/02/2009 - 15:54:53 | RHDC ] 	C:\$VAULT$.AVG
[09/04/2009 - 16:14:13 | DC ] 	C:\759f47987043cf88d3baec133b37
[12/12/2007 - 20:33:05 | DC ] 	C:\APPS
[28/07/2005 - 12:12:38 | RASHC | 215] 	C:\BOOT.BAK
[14/11/2007 - 18:29:45 | RASHC | 297] 	C:\BOOT.INI
[05/08/2004 - 14:00:00 | RASHC | 4952] 	C:\Bootfont.bin
[25/10/2007 - 15:37:21 | RSHDC ] 	C:\cmdcons
[05/08/2004 - 14:00:00 | RASH | 263488] 	C:\cmldr
[07/12/2006 - 23:57:23 | HDC ] 	C:\DIVTOOLS
[09/03/2009 - 18:37:38 | DC ] 	C:\Documents and Settings
[29/11/2007 - 23:04:52 | SHDC ] 	C:\DRIVERS
[04/06/2010 - 11:15:38 | AC | 120] 	C:\drmHeader.bin
[23/07/2009 - 07:15:28 | AC | 9880] 	C:\drwtsn32.log
[12/12/2007 - 20:33:10 | DC ] 	C:\EPSON
[24/07/2009 - 05:31:24 | AC | 132] 	C:\httpdwl.dat
[28/07/2005 - 12:15:20 | RASHC | 0] 	C:\IO.SYS
[21/06/2007 - 19:16:36 | AHC | 3900] 	C:\IPH.PH
[28/06/2010 - 17:00:59 | AC | 127] 	C:\mbam-error.txt
[07/07/2009 - 18:35:35 | DC ] 	C:\Mes documents
[28/07/2005 - 12:15:20 | RASHC | 0] 	C:\MSDOS.SYS
[21/06/2007 - 18:49:30 | RHDC ] 	C:\MSOCache
[05/08/2004 - 14:00:00 | A | 47564] 	C:\NTDETECT.COM
[17/08/2008 - 18:20:51 | A | 252240] 	C:\NTLDR
[01/07/2009 - 18:27:03 | DC ] 	C:\NVIDIA
[29/06/2009 - 17:41:54 | AC | 921632] 	C:\PA7302.DAT
[28/06/2010 - 10:10:10 | ASH | 1609801728] 	C:\pagefile.sys
[25/10/2007 - 15:37:22 | HDC ] 	C:\PNP
[28/06/2010 - 18:37:14 | RDC ] 	C:\Program Files
[17/06/2009 - 20:26:46 | DC ] 	C:\ProgramData
[28/06/2010 - 20:29:11 | SHDC ] 	C:\RECYCLER
[12/12/2007 - 20:33:11 | DC ] 	C:\Redist
[28/06/2010 - 19:17:08 | DC ] 	C:\rsit
[08/12/2006 - 17:59:31 | AHC | 280] 	C:\sqmdata00.sqm
[08/12/2006 - 17:59:31 | AHC | 244] 	C:\sqmnoopt00.sqm
[01/05/2008 - 15:57:05 | SHD ] 	C:\System Volume Information
[13/03/2009 - 19:33:09 | AC | 24] 	C:\url_history.xml
[28/06/2010 - 20:29:11 | DC ] 	C:\UsbFix
[28/06/2010 - 20:29:18 | AC | 1433] 	C:\UsbFix.txt
[19/06/2010 - 09:58:11 | DC ] 	C:\WINDOWS
[28/06/2010 - 20:14:20 | SD ] 	D:\Mes documents
[28/06/2010 - 20:29:11 | SHD ] 	D:\RECYCLER
[04/08/2004 - 00:55:02 | A | 28672] 	D:\setupSNK.exe
[01/05/2008 - 13:42:52 | SHD ] 	D:\System Volume Information
[19/04/2006 - 22:33:34 | RD ] 	G:\Autorun
[19/04/2006 - 22:33:34 | RD ] 	G:\DirectX
[19/04/2006 - 22:33:27 | RD ] 	G:\Extras
[19/04/2006 - 22:33:27 | RD ] 	G:\Manual
[11/04/2006 - 16:15:11 | R | 323584] 	G:\AutoRun.exe
[05/04/2006 - 17:38:16 | R | 50534] 	G:\AutoRun.ico
[14/03/2003 - 13:03:15 | R | 47] 	G:\autorun.inf
[19/04/2006 - 22:29:34 | R | 7990480] 	G:\data1.cab
[19/04/2006 - 22:29:43 | R | 54256] 	G:\data1.hdr
[19/04/2006 - 22:32:21 | R | 2465844879] 	G:\data2.cab
[25/07/2002 - 12:07:36 | R | 346602] 	G:\ikernel.ex_
[19/04/2006 - 22:32:21 | R | 435] 	G:\layout.bin
[10/04/2006 - 22:11:11 | R | 921656] 	G:\Setup.bmp
[05/09/2001 - 05:03:14 | R | 168448] 	G:\Setup.exe
[19/04/2006 - 22:29:26 | R | 236] 	G:\Setup.ini
[19/04/2006 - 22:29:24 | R | 173766] 	G:\setup.inx
[01/09/2004 - 02:11:34 | R | 245408] 	G:\unicows.dll

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_pbell.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

archet9 · Answer

Ok,

Relance Hijackthis et au menu principal choisis cette fois "Do a system scan only"
et fixe (coche) ces lignes:
Tuto si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet     
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     


Appuie ensuite sur "FIX CHECKED"

Redémarre le pc et donne des nouvelles ...
Du mieux ou pas ?

a+

Gny13 · Answer

Bonjour Archet9,

Effectivement ya du mieux mais il reste encore un peu lent par rapport à d'habitude.

archet9 · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) 

 Télécharge List_Kill'em et enregistre le sur ton bureau
 
http://sd-1.archive-host.com/...

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis choisis l'option Search 

un icone blanc et noir va s'afficher sur le bureau , il te servira à rappeler le programme si besoin. 

 laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan 

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Gny13 · Answer

Merci Archet9, voiçi le rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/ciji3DYoXm.txt

archet9 · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

 choisis l'option clean 

ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

 colle le contenu dans ta reponse

Gny13 · Answer

Bonjour Archet9, voici le rapport List_Kill'em: ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤ User : Daghari (Administrateurs) Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00 Start at: 12:14:15 | 01/07/2010 Intel(R) Pentium(R) 4 CPU 2.93GHz Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Enabled AV : Antivirus BitDefender 12.0 [ (!) Disabled | Updated ] FW : Pare-feu BitDefender [ (!) Disabled ]12.0 C:\ -> Disque fixe local | 101,68 Go (79,57 Go free) [HDD] | NTFS D:\ -> Disque fixe local | 78,63 Go (7,55 Go free) | NTFS E:\ -> Disque CD-ROM F:\ -> Disque CD-ROM G:\ -> Disque CD-ROM | 2,43 Go (0 Mo free) [HOMMV] | UDF H:\ -> Disque amovible I:\ -> Disque amovible J:\ -> Disque amovible K:\ -> Disque amovible L:\ -> Disque CD-ROM ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe c:\APPS\Powercinema\Kernel\TV\CLSched.exe c:\APPS\HIDSERVICE\HIDSERVICE.exe C:\Program Files\Google\Update\GoogleUpdate.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows Media Player\WMPNetwk.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\Userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\cmd.exe C:\Program Files\List_Kill'em\ERUNT.EXE C:\Program Files\List_Kill'em\pv.exe ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\.zreglib Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache Quarantined & Deleted !! : C:\Program Files\WindowsUpdate Quarantined & Deleted !! : C:\WINDOWS\System32 mp.MSNFix Quarantined & Deleted !! : C:\WINDOWS\System32\winlogonpc.MSNFix Quarantined & Deleted !! : C:\WINDOWS\System32\winsystem.MSNFix Quarantined & Deleted !! : C:\WINDOWS\System32\WINWGPX.MSNFix Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn Quarantined & Deleted !! : C:\WINDOWS\System32 naph.dll Quarantined & Deleted !! : C:\WINDOWS\System32 mp.reg Quarantined & Deleted !! : C:\Documents and Settings\Daghari\Application Data\wklnhst.dat Quarantined & Deleted !! : C:\Documents and Settings\Daghari\Application Data\Temporary Quarantined & Deleted !! : C:\Documents and Settings\Daghari\Local Settings\Temp\alm.log Quarantined & Deleted !! : C:\Documents and Settings\Daghari\Local Settings\Temp\amt.log ======= Hosts : ======= 127.0.0.1 localhost ======== Registry ======== Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Deleted : HKCR\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} Deleted : HKCR\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} ================= Internet Explorer ================= [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Local Page REG_SZ C:\WINDOWS\system32\blank.htm Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page REG_SZ https://www.google.com/?gws_rd=ssl Local Page REG_SZ C:\WINDOWS\system32\blank.htm Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch =============== Security Center =============== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled REG_DWORD 1 (0x1) AntiVirusDisableNotify REG_DWORD 0 (0x0) FirewallDisableNotify REG_DWORD 0 (0x0) UpdatesDisableNotify REG_DWORD 0 (0x0) FirewallOverride REG_DWORD 1 (0x1) AntiVirusOverride REG_DWORD 1 (0x1) ======== Services ========= Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ============ Disk Cleaned anti-ver blaster : OK Prefetch cleaned ================ Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys sptd.sys >>UNKNOWN [0x871818AC]<< kernel: MBR read successfully user & kernel MBR OK ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

archet9 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur Combofix.exe

---> Installe la console de récupération si l'outil te le propose. 
 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Gros ralentissement, infection ou pas?

13 réponses

Discussions similaires