Sujet Précédent Sujet Suivant

Chevaux de troie dropper.agent... au secours!

Résolu/Fermé
lisapou - 5 juil. 2010 à 20:53
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012 - 7 juil. 2010 à 14:35
Bonjour,
mon avg a détecté des chevaux de troie du type dropper.agent.vda et dropper.agent.vdg depuis quelques jours et aujourd'hui mon ordi fait des choses bizarres (souris qui ne répond pas, curseur qui se déplace tout seul dans la barre de saisie...). Aidez-moi svp tous les gens qui s'y connaissent dans mon entourage sont partis en vacances !!! Mille mercis par avance...



21 réponses

  • 1
  • 2
Réponse 1 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 juil. 2010 à 20:53
Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
lisapou
5 juil. 2010 à 21:10
merci de ta réponse si rapide et si claire !!! voilà le rapport :

https://www.cjoint.com/?hfvfQtzqEz
0
Réponse 2 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 juil. 2010 à 21:17
-+-+-+-+-> USBFix <-+-+-+-+-


Note : Ton PC est victime d'une infection par médias amovibles. Tu trouveras plus d'informations sur cette infection ici.

[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.

[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.

[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.

[x] Exécute USBfix sur ton bureau puis clique sur " Suppression ".

[x] Patiente pendant le scan. Un rapport s'ouvrira, copie/colle son contenu dans ton prohain message.

Notes : Le rapport est également sauvegardé à la racine du disque dur ( généralement C:\ )

Un tutoriel en images est disponible ici.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 21:36
y'a un problème, le scan s'interromp à 48% et j'ai un message d'erreur du type "windows pas de disque Exception processing message c0000013 parameters 75afbf7c 4 75afbf7c
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 21:43
il vient de rebooter tout seul peu après le message d'erreur
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 juil. 2010 à 21:45
Tu as un rapport sous C:\ ?

Et tu n'as pas touché aux clés USB sans faire exprès pendant le scan?
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 21:48
je ne vois pas de rapport et je n'ai pas non plus touché aux clefs usb
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 22:02
voilà le rapport :

############################## | UsbFix 7.016 | [Suppression]

Utilisateur: titi (Administrateur) # CHARLESHUBERT [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 21:51:03 | 05/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Genuine Intel(R) CPU 2160 @ 1.80GHz
CPU 2: Genuine Intel(R) CPU 2160 @ 1.80GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AVG Anti-Virus Free 9.0 [Enabled | Updated]
RAM -> 2047 Mo
C:\ (%systemdrive%) -> Disque fixe # 20 Go (5 Go libre(s) - 26%) [Systeme & programmes] # NTFS
D:\ -> Disque fixe # 125 Go (4 Go libre(s) - 3%) [Elise (bordel)] # NTFS
E:\ -> Disque fixe # 5 Go (3 Go libre(s) - 72%) [Logiciels communs] # NTFS
F:\ -> Disque fixe # 20 Go (14 Go libre(s) - 71%) [Nouveau disque Elise] # NTFS
G:\ -> CD-ROM
H:\ -> Disque amovible # 4 Go (701 Mo libre(s) - 18%) [] # FAT32
I:\ -> Disque amovible # 2 Go (1 Go libre(s) - 63%) [] # FAT
J:\ -> Disque fixe # 19 Go (16 Go libre(s) - 86%) [Ghost] # NTFS
N:\ -> CD-ROM
Q:\ -> Disque amovible # 2 Go (2 Go libre(s) - 88%) [CANON_DC] # FAT

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{036d6849-bec7-11dd-818b-001a9276e8b7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ad2f6eb9-d017-11dd-81b8-001a9276e8b7}

################## | Listing |

[10/03/2010 - 21:36:58 | HD ] C:\$AVG
[16/11/2008 - 15:31:54 | A | 0] C:\AUTOEXEC.BAT
[03/06/2009 - 01:15:33 | ASH | 216] C:\boot.ini
[28/08/2001 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[22/06/2010 - 22:25:24 | SHD ] C:\Config.Msi
[16/11/2008 - 15:31:54 | A | 0] C:\CONFIG.SYS
[19/11/2008 - 00:05:11 | D ] C:\Documents and Settings
[02/07/2009 - 16:15:51 | D ] C:\Downloads
[27/11/2008 - 23:04:51 | D ] C:\Intel
[16/11/2008 - 15:31:54 | RASH | 0] C:\IO.SYS
[22/06/2010 - 20:50:06 | D ] C:\logecole
[16/11/2008 - 15:31:54 | RASH | 0] C:\MSDOS.SYS
[30/11/2008 - 00:38:07 | RHD ] C:\MSOCache
[26/11/2008 - 22:24:05 | RASH | 47564] C:\NTDETECT.COM
[26/11/2008 - 22:24:05 | RASH | 252240] C:\ntldr
[16/05/2009 - 00:45:49 | D ] C:\PerfLogs
[27/06/2009 - 21:41:32 | D ] C:\plugins
[05/07/2010 - 21:02:11 | RD ] C:\Program Files
[05/07/2010 - 21:52:55 | SHD ] C:\RECYCLER
[26/11/2008 - 22:34:41 | SHD ] C:\System Volume Information
[05/07/2010 - 21:55:55 | D ] C:\UsbFix
[05/07/2010 - 21:55:56 | A | 1311] C:\UsbFix.txt
[05/07/2010 - 21:39:04 | D ] C:\WINDOWS
[10/03/2010 - 21:36:59 | HD ] D:\$AVG
[23/07/2009 - 17:03:01 | A | 26112] D:\1.doc
[04/08/2009 - 13:49:15 | A | 15533] D:\Affaire Mesrine.docx
[20/05/2010 - 22:01:19 | D ] D:\ATI
[09/06/2010 - 12:27:16 | D ] D:\chiens
[24/06/2010 - 01:00:00 | D ] D:\CINEMA
[30/11/2008 - 11:04:00 | A | 246] D:\clef_office2007.txt
[31/07/2009 - 12:58:48 | A | 26624] D:\De Particulier à Particulier.doc
[28/02/2010 - 13:14:59 | D ] D:\divers
[06/05/2009 - 11:55:54 | D ] D:\Documentaires
[26/04/2009 - 21:03:17 | A | 181163] D:\egyptepop.gif
[16/03/2009 - 21:35:21 | A | 1339904] D:\enseignants.pps
[15/11/2008 - 22:14:38 | A | 59097] D:\Favoris Mozilla.html
[18/07/2009 - 21:02:27 | A | 111317] D:\fessebouc.jpg
[30/04/2009 - 08:59:28 | A | 149653] D:\FRAISESESPAGNOLES.pdf
[06/08/2009 - 09:49:03 | A | 4524431] D:\IDF.pdf
[29/12/2008 - 09:21:39 | D ] D:\Jeux
[29/03/2009 - 19:54:26 | A | 36028] D:\link.jpg
[07/02/2010 - 21:23:51 | D ] D:\MUSIQUE
[15/01/2009 - 20:52:00 | A | 22059] D:\oim.JPG
[05/07/2010 - 21:38:54 | ASH | 2146545664] D:\pagefile.sys
[04/01/2010 - 20:48:23 | D ] D:\Paperasserie
[23/06/2010 - 20:54:32 | D ] D:\Photos
[06/08/2009 - 13:00:53 | A | 1425654] D:\pollution CO 94.bmp
[06/08/2009 - 13:07:39 | A | 1408054] D:\pollution CO 95.bmp
[06/08/2009 - 13:02:52 | A | 1408054] D:\pollution CO2 94.bmp
[06/08/2009 - 12:59:08 | A | 1408054] D:\pollution CO2 95.bmp
[06/08/2009 - 12:52:25 | A | 1408054] D:\pollution NOx 94.bmp
[06/08/2009 - 12:54:15 | A | 1409814] D:\pollution NOx 95.bmp
[26/05/2010 - 12:42:22 | D ] D:\PROF
[10/01/2010 - 17:30:37 | D ] D:\Recettes
[05/07/2010 - 21:52:55 | SHD ] D:\RECYCLER
[24/01/2010 - 13:04:59 | A | 2464355] D:\scrabbleproB.exe
[05/07/2010 - 11:33:10 | D ] D:\SERIES
[01/07/2007 - 20:57:10 | SHD ] D:\System Volume Information
[01/11/2009 - 10:59:02 | ASH | 109056] D:\Thumbs.db
[10/01/2010 - 17:54:49 | D ] D:\Vidéos musicales
[02/12/2008 - 17:41:20 | A | 8327705] E:\aMSN-0.97.2-tcl85-windows-installer.exe
[29/11/2008 - 16:41:05 | D ] E:\antispyware
[29/11/2008 - 16:41:11 | D ] E:\AVG antivirus
[17/12/2009 - 22:34:50 | D ] E:\drivers
[28/07/2008 - 10:16:28 | A | 3309160] E:\eMule0.49a-Installer1.exe
[29/11/2008 - 16:41:22 | D ] E:\Encodage mp3
[29/11/2008 - 16:41:25 | D ] E:\Foxmail
[30/11/2008 - 18:22:59 | D ] E:\install
[06/05/2008 - 00:48:34 | A | 1804204] E:\inst_40_polices.exe
[29/11/2008 - 16:42:13 | D ] E:\Kerio fire wall
[29/11/2008 - 16:42:13 | D ] E:\lecteur pdf
[07/12/2008 - 16:48:59 | D ] E:\Mises à jour
[15/10/2005 - 00:00:00 | A | 3607858] E:\ODSsetup.exe
[29/11/2008 - 16:43:33 | D ] E:\Player, codec
[26/07/2009 - 23:38:01 | D ] E:\Programmes SANS INSTALL
[22/04/2008 - 19:00:26 | A | 214560] E:\realplay.exe
[22/04/2008 - 18:58:05 | A | 333360] E:\RealPlayer11GOLD_fr.exe
[05/07/2010 - 21:52:55 | SHD ] E:\RECYCLER
[29/11/2008 - 16:43:46 | D ] E:\restauration fichier supprimés
[29/10/2008 - 13:47:07 | A | 4865408] E:\Silverlight.2.0.exe
[29/11/2008 - 16:49:58 | SHD ] E:\System Volume Information
[29/11/2008 - 16:43:50 | D ] E:\TV
[29/08/2008 - 13:43:17 | A | 5106725] E:\XnView-win.exe
[23/04/2009 - 20:37:50 | A | 732751872] F:\Le.Tombeau.Des.Lucioles.FRENCH.DVDRiP.XViD.[emule-island.com].avi
[17/03/2010 - 20:40:53 | A | 734093312] F:\Les Yeux Sans Visage (Georges Franju, 1960).avi
[27/03/2010 - 13:58:07 | A | 941961216] F:\Pekin.Express.La.Route.Des.Incas.Episode.8.FR.DVB-T.XviD-Darian.[emule-island.com].avi
[05/07/2010 - 21:52:55 | SHD ] F:\RECYCLER
[19/12/2009 - 16:04:44 | SHD ] F:\System Volume Information
[09/06/2010 - 14:18:37 | A | 735902401] F:\Twilight.Chapitre.2.Tentation.(New.Moon).DVDRip.{x264+HE-AAC}{Fr-Eng-Com}{Sub.Fr-Eng-Com}-(TM).mkv
[09/06/2010 - 10:27:36 | A | 734486528] F:\Wallstreet.[English].DivX5.02.2pass.700Bitrate.Lame96-112kbs.(by.Amigos).Wall.Street 1987.avi
[03/06/2010 - 20:45:46 | A | 1472319474] F:\Wolfen.1981.dvd.x264.ac3.mp3.eng.ger.subs.ger.eng_olds.mkv
[09/06/2010 - 14:37:11 | A | 726548480] F:\[???????].american_werewolf_london.divx5.avi
[16/05/2010 - 18:07:30 | D ] H:\mer
[16/05/2010 - 18:06:50 | D ] H:\17mai
[16/05/2010 - 18:07:14 | D ] H:\fleurs
[05/07/2010 - 21:38:48 | A | 1620] H:\BOOTEX.LOG
[31/05/2010 - 12:43:56 | A | 20480] H:\catégorie.doc
[10/05/2010 - 14:19:36 | ASH | 205824] H:\Music.MP3.exe
[23/04/2010 - 21:43:40 | A | 725737182] H:\La Journée De La Jupe 2008, 1h27.avi
[28/04/2010 - 11:53:46 | D ] H:\2009-2010
[02/05/2010 - 17:52:02 | D ] H:\3 mai
[23/04/2010 - 20:57:06 | A | 11619] H:\Alertes envoyées pour achat appart.docx
[28/04/2010 - 12:00:54 | D ] H:\DOCUMENTATION d'aide à la préparation
[01/05/2010 - 09:32:46 | A | 68608] H:\exosièmelitté.doc
[05/03/2010 - 14:32:34 | A | 154610] H:\Tournicotte.pdf
[07/03/2010 - 14:17:12 | A | 294752] H:\PROGRESSION%20MATERNELLE.pdf
[17/03/2009 - 16:01:08 | A | 14772] H:\Friends - 5x05 - The One With The Kips.en.sub
[11/06/2010 - 22:17:04 | D ] H:\Nouveau dossier
[26/04/2009 - 14:20:42 | A | 245045248] H:\[???].Friends.S05E04.The.One.Where.Phoebe.Hates.PBS.DVDRip.DivX5.AC3-JOG.avi
[01/05/2009 - 15:59:06 | A | 36554] H:\[???].Friends.S05E04.The.One.Where.Phoebe.Hates.PBS.DVDRip.DivX5.AC3-JOG.srt
[17/03/2009 - 16:01:08 | A | 15702] H:\Friends - 5x04 - The One Where Phoebe Hates PBS.en.sub
[10/04/2010 - 07:01:24 | D ] H:\trucs lo
[06/07/2006 - 21:56:26 | A | 2897821] H:\bsplayer_bsplayer_1.37_sans_adware_anglais_10424.exe
[16/04/2010 - 15:55:16 | D ] H:\Aquarium le 13 avril 2010
[26/04/2009 - 13:38:20 | A | 244992000] H:\[???].Friends.S05E05.The.One.With.The.Kips.DVDRip.DivX5.AC3-JOG.avi
[29/04/2009 - 09:54:42 | A | 35875] H:\[???].Friends.S05E05.The.One.With.The.Kips.DVDRip.DivX5.AC3-JOG.srt
[23/04/2010 - 21:15:42 | A | 120] H:\simplon.txt
[17/06/2010 - 20:22:00 | A | 81524] I:\sanglier.jpg
[17/06/2010 - 20:22:44 | A | 30682] I:\renard.jpg
[09/01/2007 - 13:04:50 | A | 126120] I:\Mystic.River[2003]DVDRip[Eng]-vik13.srt
[03/01/2010 - 12:17:46 | D ] I:\école
[23/03/2008 - 15:17:22 | A | 730307258] I:\La chute DRA.AVI
[08/08/2009 - 09:03:25 | D ] J:\bde62db746949b8c7129e27df433
[29/08/2009 - 15:22:01 | D ] J:\Caesar IV
[28/06/2009 - 17:40:47 | D ] J:\Prince of Persia Les Sables du Temps
[05/07/2010 - 21:52:55 | SHD ] J:\RECYCLER
[26/11/2008 - 22:34:41 | SHD ] J:\System Volume Information
[23/02/2009 - 16:34:45 | ASH | 172032] J:\Thumbs.db
[05/07/2010 - 21:25:11 | D ] J:\téléchargement firefox
[03/04/2007 - 23:15:23 | R | 366661078] N:\301 - Listen to the rain on the roof.avi
[03/04/2007 - 18:18:49 | R | 53313] N:\301 - Listen to the rain on the roof.srt
[25/09/2006 - 20:03:34 | R | 50143] N:\301 -eng.srt
[04/04/2007 - 13:18:20 | R | 366609458] N:\302 - It takes two.avi
[08/04/2007 - 17:53:37 | R | 55626] N:\302 - It takes two.srt
[04/04/2007 - 14:29:14 | R | 366405632] N:\303 - A week end in the country.avi
[09/04/2007 - 19:07:11 | R | 58577] N:\303 - A week end in the country.srt
[09/10/2006 - 22:32:42 | R | 53319] N:\303 -eng.srt
[04/04/2007 - 12:36:33 | R | 366541838] N:\304 - Like it was.avi
[08/04/2007 - 18:14:53 | R | 58074] N:\304 - Like it was.srt
[17/10/2006 - 07:55:20 | R | 55841] N:\304 -eng .srt
[04/04/2007 - 11:54:43 | R | 362557440] N:\305 - Nice she ain't.avi
[24/10/2006 - 17:37:34 | R | 57841] N:\305 - Nice she ain't.srt
[03/04/2007 - 21:24:07 | R | 366573568] N:\306 - Sweetheart I have to confess.avi
[30/10/2006 - 23:32:28 | R | 49122] N:\306 - eng.srt
[03/04/2007 - 23:11:03 | R | 365713408] N:\307 - Bang.avi
[07/11/2006 - 20:03:58 | R | 50308] N:\307 - eng.srt
[03/04/2007 - 23:17:59 | R | 365471744] N:\308 - Children and art.avi
[14/11/2006 - 08:05:32 | R | 57074] N:\308 - eng.srt
[03/04/2007 - 23:08:09 | R | 366045184] N:\309 - Beautiful Girls.avi
[20/11/2006 - 22:30:06 | R | 58313] N:\309 - Beautiful Girls.srt
[03/04/2007 - 20:24:00 | R | 366333952] N:\310 - The miracle song.avi
[08/01/2007 - 16:26:46 | R | 52051] N:\310 - The miracle song.srt
[03/04/2007 - 22:57:10 | R | 367036416] N:\311 - No Fits, No Fights, No Feuds.avi
[09/04/2007 - 18:15:16 | R | 55153] N:\311 - No Fits, No Fights, No Feuds.srt
[09/04/2007 - 18:16:06 | R | 57783] N:\312 - Not While I'm Around.srt
[03/04/2007 - 21:57:59 | R | 367227656] N:\312 - Not while I'm around.avi
[15/01/2007 - 21:41:22 | R | 56689] N:\312 - eng.srt
[02/11/2008 - 21:34:50 | D ] Q:\DCIM
[13/11/2008 - 20:34:56 | D ] Q:\MISC

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
Q:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CHARLESHUBERT.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Réponse 3 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 juil. 2010 à 22:28
Je l'ai bien reçu.

-+-+-+-+-> Virustotal <-+-+-+-+-


[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".

[x] Sélectionne ce fichier : C:\Program Files\Internet Explorer\csrss.exe puis cliques sur " Ouvrir ". Patiente pendant l'envoi.

[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".

[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 22:34
problème : je ne vois pas de csrss.exe dans le dossier internet explorer de program files
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
5 juil. 2010 à 23:25
Suis ce tutoriel ( décoche aussi " Masquer les fichiers protégés[...] " )
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
5 juil. 2010 à 23:58
je ne m'y connais pas trop mais ça m'a l'air mauvais....

Fichier csrss.exe reçu le 2010.07.05 21:43:40 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/41 (36.59%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.05 Trojan-Spy.Agent!IK
AhnLab-V3 2010.07.06.00 2010.07.05 -
AntiVir 8.2.4.2 2010.07.05 TR/Spy.Agent.abag
Antiy-AVL 2.0.3.7 2010.07.02 -
Authentium 5.2.0.5 2010.07.05 -
Avast 4.8.1351.0 2010.07.05 -
Avast5 5.0.332.0 2010.07.05 -
AVG 9.0.0.836 2010.07.05 -
BitDefender 7.2 2010.07.05 Trojan.Generic.4143736
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.07.05 -
Comodo 5329 2010.07.05 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.07.05 -
eSafe 7.0.17.0 2010.07.05 -
eTrust-Vet 36.1.7687 2010.07.05 -
F-Prot 4.6.1.107 2010.07.05 -
F-Secure 9.0.15370.0 2010.07.05 Trojan.Generic.4143736
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.05 Trojan.Generic.4143736
Ikarus T3.1.1.84.0 2010.07.05 Trojan-Spy.Agent
Jiangmin 13.0.900 2010.07.03 -
Kaspersky 7.0.0.125 2010.07.05 -
McAfee 5.400.0.1158 2010.07.05 Artemis!15415D3E32E6
McAfee-GW-Edition 2010.1 2010.07.05 Artemis!15415D3E32E6
Microsoft 1.5902 2010.07.03 -
NOD32 5253 2010.07.05 MSIL/Agent.NCC
Norman 6.05.10 2010.07.05 W32/Obfuscated.O!genr
nProtect 2010-07-05.01 2010.07.05 Trojan.Generic.4143736
Panda 10.0.2.7 2010.07.05 Suspicious file
PCTools 7.0.3.5 2010.07.05 -
Prevx 3.0 2010.07.05 High Risk Cloaked Malware
Rising 22.55.00.04 2010.07.05 -
Sophos 4.54.0 2010.07.05 -
Sunbelt 6546 2010.07.05 -
Symantec 20101.1.0.89 2010.07.05 -
TheHacker 6.5.2.1.308 2010.07.05 -
TrendMicro 9.120.0.1004 2010.07.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.05 -
VBA32 3.12.12.5 2010.07.05 suspected of Embedded.MSIL.Agent.NCC
ViRobot 2010.6.29.3912 2010.07.05 -
VirusBuster 5.0.27.0 2010.07.05 -
Information additionnelle
File size: 205824 bytes
MD5...: 15415d3e32e6e763f63cc7538cb2b27c
SHA1..: 20b8efeed301f81a33624f14110871cd434f6446
SHA256: d5b498f54e9295f6ea542e3d341d03f3f4f4c5d98da494db89d0d61eb31c41a2
ssdeep: 3072:9N3zBXepVfR9MiY9rtb6sG3sz062XatLM8AVKbpyM3QW0/nyypf:bjB4926
xXILM+3T01
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2d1ee
timedatestamp.....: 0x4ba65e7e (Sun Mar 21 17:59:26 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0x2b1f4 0x2b200 5.68 4183e8e9462d5416503071edf314de05
.sdata 0x2e000 0x90 0x200 1.69 c2d382d861aa931fa7617f29aa4d3a69
.rsrc 0x30000 0x6954 0x6a00 6.19 aae234edfe961055ffd754a2bf88a5c0
.reloc 0x38000 0xc 0x200 0.10 09eb7061fc959a24eb752a65fd02df10

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic CIL Executable (.NET, Mono, etc.) (38.6%)
InstallShield setup (22.7%)
Win32 Executable MS Visual C++ (generic) (19.9%)
Windows Screen Saver (6.9%)
Win32 Executable Generic (4.5%)
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=F284797100E14AE42439034A4FF694001C4DF996' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=F284797100E14AE42439034A4FF694001C4DF996</a>
sigcheck:
publisher....: n/a
copyright....: Copyright (c) 2009
product......: n/a
description..:
original name: a.exe
internal name: a.exe
file version.: 1.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 4 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 10:45
Ca l'est :)

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 12:03
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4281

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/07/2010 11:49:01
mbam-log-2010-07-06 (11-49-01).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|M:\|N:\|O:\|P:\|Q:\|)
Elément(s) analysé(s): 215240
Temps écoulé: 39 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\Program Files\Internet Explorer\csrss.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\music system (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\music system (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\csrss.exe (Trojan.Agent) -> Delete on reboot.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 12:06
Ok, malwarebytes' l'a dégommé.

Refais moi un rapport ZHPDiag maintenant s'il te plait.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 12:22
https://www.cjoint.com/?hgmwgpeLFy
0
Réponse 6 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 12:36
-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O4 - HKCU\..\RunOnce: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe
O4 - HKCU\..\Run: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe
[MD5.15415D3E32E6E763F63CC7538CB2B27C] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe [205824]
O44 - LFC:[MD5.9E605DEBE6B8D230B86DAFA869605B8E] - 05/07/2010 - 20:57:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_CHARLESHUBERT.zip [7652]
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.)
O44 - LFC:[MD5.312B8436DCDFEAABCEFD1C25838220CB] - 05/07/2010 - 20:57:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt [11965]
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 12:39
J'ai redémarré quand il me l'a été demandé mais avg a encore détecté des CDT sur le processus csrss.exe au démarrage....

Rapport de ZHPFix v1.12.3116 par Nicolas Coolman, Update du 05/07/2010
Fichier d'export Registre :
Run by titi at 06/07/2010 12:25:33
Web site : http://www.premiumorange.com/zeb-h [...] hpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Program Files\Internet Explorer\csrss.exe [205824] => Fichier supprimé au reboot

========== Clé du Registre ==========
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès
[HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}] => Clé supprimée avec succès

========== Valeur du Registre ==========
R3 - URLSearchHook: Microsoft Url Search Hook - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Pas de propriétaire - Pas de description.) (No version) -- (.not file.) => Valeur supprimée avec succès
O4 - HKCU\..\Run: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe => Valeur supprimée avec succès
O4 - HKCU\..\RunOnce: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe => Valeur supprimée avec succès

========== Fichier ==========
c:\program files\internet explorer\csrss.exe => Fichier supprimé au reboot


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé du Registre
3 : Valeur du Registre
1 : Fichier


End of the scan
0
Réponse 7 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 12:44
Refais un nouveau ZHPDiag s'il te plait.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 13:06
https://www.cjoint.com/?hgnfyrykW8
0
Réponse 8 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 13:12
Ok, l'infection revient. Elle doit sûrement être chargée par un driver.. on va sortir l'artillerie lourde.

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 13:25
je n'arrive pas à désactiver avg, ça a l'air grave pour combofix
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 13:26
Tu peux pas faire clic droit sur l'icône de la barre des tâches puis " Désactiver la protection en temps réel " ou un truc du genre ?
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 13:27
ok il fallait juste désactiver le bouclier résident... c'est parti pour combofix
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 14:24
ComboFix 10-07-05.03 - titi 06/07/2010 14:17:40.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1563 [GMT 2:00]
Lancé depuis: j:\téléchargement firefox\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\daemon.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\titi\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-05 19:57 . 2010-07-05 19:57 7652 ----a-w- C:\UsbFix_Upload_Me_CHARLESHUBERT.zip
2010-07-05 19:29 . 2010-07-05 19:57 -------- d-----w- C:\UsbFix
2010-07-05 19:02 . 2010-07-06 10:52 -------- d-----w- c:\program files\ZHPDiag
2010-06-28 18:39 . 2010-06-28 18:39 503808 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\msvcp71.dll
2010-06-28 18:39 . 2010-06-28 18:39 499712 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\jmc.dll
2010-06-28 18:39 . 2010-06-28 18:39 348160 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\msvcr71.dll
2010-06-23 18:32 . 2010-06-23 18:32 -------- d-----w- c:\program files\Uniblue
2010-06-22 19:15 . 2010-06-22 19:15 -------- d-----w- c:\documents and settings\titi\Application Data\Uniblue
2010-06-22 19:02 . 2010-06-22 19:09 -------- d-----w- c:\program files\RegCleaner
2010-06-10 17:24 . 2010-05-06 10:33 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 10:54 . 2010-03-10 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-06-23 18:57 . 2010-02-10 17:49 -------- d-----w- c:\documents and settings\titi\Application Data\vlc
2010-06-23 18:56 . 2009-03-06 19:24 -------- d-----w- c:\documents and settings\titi\Application Data\dvdcss
2010-06-22 20:24 . 2001-08-28 12:00 85404 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-22 20:24 . 2001-08-28 12:00 513080 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-22 19:21 . 2008-12-07 16:13 -------- d-----w- c:\program files\Yahoo!
2010-06-11 19:24 . 2009-01-18 18:41 -------- d-----w- c:\documents and settings\titi\Application Data\XnView
2010-06-10 19:45 . 2008-11-29 22:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-06-07 16:31 . 2008-12-02 22:19 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-03 17:50 . 2008-11-29 14:32 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 17:50 . 2008-11-29 14:32 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-01 21:03 . 2010-06-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\hps
2010-06-01 20:54 . 2010-06-01 20:54 -------- d-----w- c:\program files\Carrefour Online
2010-05-18 18:39 . 2009-06-20 14:43 -------- d-----w- c:\program files\Google
2010-05-06 10:33 . 2008-11-26 20:06 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2001-08-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2001-08-28 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-20 39408]
"Music System"="c:\program files\Internet Explorer\csrss.exe" [2010-07-06 205824]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"="c:\program files\Internet Explorer\csrss.exe" [2010-07-06 205824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-07-30 22528]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-27 61440]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-03 2065248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\titi\Menu D'marrer\Programmes\D'marrage\
Music System.exe [2010-5-10 205824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-10 19:36 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^titi^Menu Démarrer^Programmes^Démarrage^Vente Flash.lnk]
path=c:\documents and settings\titi\Menu Démarrer\Programmes\Démarrage\Vente Flash.lnk
backup=c:\windows\pss\Vente Flash.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-06-20 14:43 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\aMSN\\bin\\wish.exe"=
"c:\\Program Files\\Ubisoft\\SCRABBLE® Interactif EDITION 2007\\Scrabble2007.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17976:TCP"= 17976:TCP:BitComet 17976 TCP
"17976:UDP"= 17976:UDP:BitComet 17976 UDP
"18865:TCP"= 18865:TCP:BitComet 18865 TCP
"18865:UDP"= 18865:UDP:BitComet 18865 UDP
"49568:TCP"= 49568:TCP:BitComet 49568 TCP
"49568:UDP"= 49568:UDP:BitComet 49568 UDP

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [06/03/2009 20:54 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [06/03/2009 20:54 5248]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [29/11/2008 16:32 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [29/11/2008 16:32 242896]
R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\drivers\FWDRV.SYS [29/11/2008 16:48 102912]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [10/03/2010 21:36 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [10/03/2010 21:36 308064]
S2 gupdate1c9f50a7a3645a8;Service Google Update (gupdate1c9f50a7a3645a8);c:\program files\Google\Update\GoogleUpdate.exe [24/06/2009 22:29 133104]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [13/11/2005 01:27 26112]
.
Contenu du dossier 'Tâches planifiées'

2010-07-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\titi\Application Data\Mozilla\Firefox\Profiles\9fk85ota.default\
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-Google Update - c:\documents and settings\titi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-06 14:21
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89CA4780]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f58cb8
\Driver\atapi -> 0x89ca4780
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-07-06 14:22:34
ComboFix-quarantined-files.txt 2010-07-06 12:22

Avant-CF: 2 772 574 208 octets libres
Après-CF: 2 792 386 560 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - 9442A625A865B48B4CDE2569D410FCE1
0
Réponse 9 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
Modifié par Xplode le 6/07/2010 à 14:32
-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour lisapou /!\

[x] Copie le texte en gras ci dessous :


Killall::

File::

c:\program files\Internet Explorer\csrss.exe
c:\documents and settings\titi\Menu D'marrer\Programmes\D'marrage\
Music System.exe

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Music System"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"=-

Mbr::


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
Xplode - Contributeur sécurité.
0
Nicolas Coolman Messages postés 1104 Date d'inscription dimanche 25 mai 2008 Statut Contributeur sécurité Dernière intervention 5 octobre 2014 27
6 juil. 2010 à 14:33
Hello Xplode,lisapou,

Coriace ce processus "csrss.exe" !!!

Pour suivre :)

A+
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 15:47
ComboFix 10-07-05.03 - titi 06/07/2010 15:27:55.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1564 [GMT 2:00]
Lancé depuis: j:\téléchargement firefox\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\titi\Bureau\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"c:\documents and settings\titi\Menu D'marrer\Programmes\D'marrage\"
"c:\program files\Internet Explorer\csrss.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\csrss.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-06-06 au 2010-07-06 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\titi\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-05 19:57 . 2010-07-05 19:57 7652 ----a-w- C:\UsbFix_Upload_Me_CHARLESHUBERT.zip
2010-07-05 19:29 . 2010-07-05 19:57 -------- d-----w- C:\UsbFix
2010-07-05 19:02 . 2010-07-06 10:52 -------- d-----w- c:\program files\ZHPDiag
2010-06-28 18:39 . 2010-06-28 18:39 503808 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\msvcp71.dll
2010-06-28 18:39 . 2010-06-28 18:39 499712 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\jmc.dll
2010-06-28 18:39 . 2010-06-28 18:39 348160 ----a-w- c:\documents and settings\titi\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-1580d2df-n\msvcr71.dll
2010-06-23 18:32 . 2010-06-23 18:32 -------- d-----w- c:\program files\Uniblue
2010-06-22 19:15 . 2010-06-22 19:15 -------- d-----w- c:\documents and settings\titi\Application Data\Uniblue
2010-06-22 19:02 . 2010-06-22 19:09 -------- d-----w- c:\program files\RegCleaner
2010-06-10 17:24 . 2010-05-06 10:33 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 10:54 . 2010-03-10 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-06-23 18:57 . 2010-02-10 17:49 -------- d-----w- c:\documents and settings\titi\Application Data\vlc
2010-06-23 18:56 . 2009-03-06 19:24 -------- d-----w- c:\documents and settings\titi\Application Data\dvdcss
2010-06-22 20:24 . 2001-08-28 12:00 85404 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-22 20:24 . 2001-08-28 12:00 513080 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-22 19:21 . 2008-12-07 16:13 -------- d-----w- c:\program files\Yahoo!
2010-06-11 19:24 . 2009-01-18 18:41 -------- d-----w- c:\documents and settings\titi\Application Data\XnView
2010-06-10 19:45 . 2008-11-29 22:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-06-07 16:31 . 2008-12-02 22:19 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-03 17:50 . 2008-11-29 14:32 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 17:50 . 2008-11-29 14:32 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-01 21:03 . 2010-06-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\hps
2010-06-01 20:54 . 2010-06-01 20:54 -------- d-----w- c:\program files\Carrefour Online
2010-05-18 18:39 . 2009-06-20 14:43 -------- d-----w- c:\program files\Google
2010-05-06 10:33 . 2008-11-26 20:06 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2001-08-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2001-08-28 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-07-06_12.21.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-06 13:33 . 2010-07-06 13:33 16384 c:\windows\temp\Perflib_Perfdata_7a4.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-07-30 22528]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-27 61440]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-03 2065248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\titi\Menu D'marrer\Programmes\D'marrage\
Music System.exe [2010-5-10 205824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-10 19:36 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^titi^Menu Démarrer^Programmes^Démarrage^Vente Flash.lnk]
path=c:\documents and settings\titi\Menu Démarrer\Programmes\Démarrage\Vente Flash.lnk
backup=c:\windows\pss\Vente Flash.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-06-20 14:43 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\aMSN\\bin\\wish.exe"=
"c:\\Program Files\\Ubisoft\\SCRABBLE® Interactif EDITION 2007\\Scrabble2007.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17976:TCP"= 17976:TCP:BitComet 17976 TCP
"17976:UDP"= 17976:UDP:BitComet 17976 UDP
"18865:TCP"= 18865:TCP:BitComet 18865 TCP
"18865:UDP"= 18865:UDP:BitComet 18865 UDP
"49568:TCP"= 49568:TCP:BitComet 49568 TCP
"49568:UDP"= 49568:UDP:BitComet 49568 UDP

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [06/03/2009 20:54 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [06/03/2009 20:54 5248]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [29/11/2008 16:32 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [29/11/2008 16:32 242896]
R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\drivers\FWDRV.SYS [29/11/2008 16:48 102912]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [10/03/2010 21:36 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [10/03/2010 21:36 308064]
S2 gupdate1c9f50a7a3645a8;Service Google Update (gupdate1c9f50a7a3645a8);c:\program files\Google\Update\GoogleUpdate.exe [24/06/2009 22:29 133104]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [13/11/2005 01:27 26112]
.
Contenu du dossier 'Tâches planifiées'

2010-07-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-20 20:28]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]

2010-07-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\titi\Application Data\Mozilla\Firefox\Profiles\9fk85ota.default\
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-06 15:34
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89BFE260]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f58cb8
\Driver\atapi -> 0x89bfe260
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3544)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll

- - - - - - - > 'csrss.exe'(2580)
c:\windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_fr_b77a5c561934e089\mscorlib.resources.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\system32\CAP3RSK.EXE
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\program files\Internet Explorer\csrss.exe
c:\program files\Internet Explorer\hid.exe
.
**************************************************************************
.
Heure de fin: 2010-07-06 15:37:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-06 13:37
ComboFix2.txt 2010-07-06 12:22

Avant-CF: 2 794 299 392 octets libres
Après-CF: 2 783 834 112 octets libres

- - End Of File - - CC51AE1F8D034EB4FF29104A8EB62161
0
Réponse 10 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 15:53
-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O4 - HKCU\..\RunOnce: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe
O4 - HKCU\..\Run: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe
[MD5.15415D3E32E6E763F63CC7538CB2B27C] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe [205824]
MBRFix


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:02
Rapport de ZHPFix v1.12.3116 par Nicolas Coolman, Update du 05/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-06-07-2010-16-01-35.txt
Run by titi at 06/07/2010 16:01:35
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Program Files\Internet Explorer\csrss.exe [205824] => Fichier absent

========== Valeur du Registre ==========
O4 - HKCU\..\RunOnce: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe => Valeur absente
O4 - HKCU\..\Run: [Music System] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Internet Explorer\csrss.exe => Valeur absente

========== Fichier ==========
c:\program files\internet explorer\csrss.exe => Supprimé et mis en quarantaine

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89BFE260]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x89bfe260
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


========== Récapitulatif ==========
1 : Processus mémoire
2 : Valeur du Registre
1 : Fichier
1 :Master Boot Record


End of the scan
0
Réponse 11 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 16:06
Ok bien, fais maintenant ceci :

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc : 

:dir

c:\program files\Internet Explorer

:process

csrss.exe


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:08
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:08 on 06/07/2010 by titi (Administrator - Elevation successful)

========== dir ==========

c:\program files\Internet Explorer - Parameters: "(none)"

---Files---
custsat.dll -----c 33792 bytes [17:54 13/08/2007] [17:54 13/08/2007]
dogs.exe ---hs- 57856 bytes [13:37 04/07/2007] [13:37 06/07/2010]
ExtExport.exe -----c 144384 bytes [02:35 08/03/2009] [02:35 08/03/2009]
hid.exe ---hs- 47104 bytes [13:37 04/07/2007] [13:37 06/07/2010]
hmmapi.dll --a--c 68608 bytes [20:07 26/11/2008] [02:24 08/03/2009]
ie8props.propdesc -----c 2649 bytes [19:05 11/01/2009] [19:05 11/01/2009]
iecompat.dll ------ 102912 bytes [02:35 08/03/2009] [05:11 12/05/2009]
iedvtool.dll ------ 743424 bytes [02:35 08/03/2009] [10:33 06/05/2010]
iedw.exe --a--c 69120 bytes [20:25 26/11/2008] [17:44 13/08/2007]
ieproxy.dll ------ 247808 bytes [17:54 13/08/2007] [10:33 06/05/2010]
iexplore.exe --a--- 638816 bytes [20:07 26/11/2008] [12:09 08/03/2009]
iexplore.exe.mui -----c 16384 bytes [12:16 08/03/2009] [12:16 08/03/2009]
jsdbgui.dll -----c 521216 bytes [02:35 08/03/2009] [02:35 08/03/2009]
jsdebuggeride.dll -----c 121344 bytes [02:35 08/03/2009] [02:35 08/03/2009]
JSProfilerCore.dll -----c 118272 bytes [02:35 08/03/2009] [02:35 08/03/2009]
jsprofilerui.dll -----c 233984 bytes [02:35 08/03/2009] [02:35 08/03/2009]
Music.OD --a--- 35 bytes [09:43 19/05/2010] [09:43 19/05/2010]
pdm.dll -----c 355832 bytes [16:20 07/01/2009] [16:20 07/01/2009]
sqmapi.dll ------ 134144 bytes [16:20 07/01/2009] [16:20 07/01/2009]
xpshims.dll ------ 12800 bytes [02:33 08/03/2009] [10:33 06/05/2010]

---Folders---
Connection Wizard d----- [13:30 16/11/2008]
fr-fr d----- [22:32 29/11/2008]
MUI d----- [22:15 02/12/2008]
PLUGINS d----- [13:31 16/11/2008]
SIGNUP d----- [13:30 16/11/2008]

========== process ==========

csrss.exe - 1 handle(s) returned.
File path: \??\C:\WINDOWS\system32\csrss.exe
MD5: Unable to calculate MD5.
Modules:
\??\C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\CSRSRV.dll
C:\WINDOWS\system32\basesrv.dll
C:\WINDOWS\system32\winsrv.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\KERNEL32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\sxs.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\Apphelp.dll
C:\WINDOWS\system32\VERSION.dll

-=End Of File=-
0
Réponse 12 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
Modifié par Xplode le 6/07/2010 à 16:11
Bien,

Affiche les fichiers cachés puis fais ceci :

-+-+-+-+-> Virustotal <-+-+-+-+-


[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".

[x] Sélectionne ce fichier : c:\program files\Internet Explorer\hid.exe puis cliques sur " Ouvrir ". Patiente pendant l'envoi.

[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".

[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.
Xplode - Contributeur sécurité.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:18
Fichier hid.exe reçu le 2010.07.06 14:15:39 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 11/41 (26.83%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 5.0.0.31 2010.07.06 Trojan.MSIL.Agent.NCC!A2
AhnLab-V3 2010.07.06.00 2010.07.05 -
AntiVir 8.2.4.2 2010.07.06 -
Antiy-AVL 2.0.3.7 2010.07.06 -
Authentium 5.2.0.5 2010.07.06 -
Avast 4.8.1351.0 2010.07.06 -
Avast5 5.0.332.0 2010.07.06 -
AVG 9.0.0.836 2010.07.06 Dropper.Agent.VDA
BitDefender 7.2 2010.07.06 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.07.06 -
Comodo 5337 2010.07.06 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.07.06 -
eSafe 7.0.17.0 2010.07.05 -
eTrust-Vet 36.1.7688 2010.07.06 -
F-Prot 4.6.1.107 2010.07.05 -
F-Secure 9.0.15370.0 2010.07.06 HackTool:W32/AdvPasswordRetriever.A
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.06 -
Ikarus T3.1.1.84.0 2010.07.06 -
Jiangmin 13.0.900 2010.07.06 -
Kaspersky 7.0.0.125 2010.07.06 -
McAfee 5.400.0.1158 2010.07.06 -
McAfee-GW-Edition 2010.1 2010.07.05 -
Microsoft 1.5902 2010.07.03 -
NOD32 5255 2010.07.06 MSIL/Agent.NCC
Norman 6.05.11 2010.07.06 -
nProtect 2010-07-06.01 2010.07.06 -
Panda 10.0.2.7 2010.07.06 Trj/Agent.NNJ
PCTools 7.0.3.5 2010.07.06 Trojan.Gen
Prevx 3.0 2010.07.06 -
Rising 22.55.01.04 2010.07.06 -
Sophos 4.54.0 2010.07.06 -
Sunbelt 6549 2010.07.06 -
Symantec 20101.1.0.89 2010.07.06 Trojan.Gen
TheHacker 6.5.2.1.308 2010.07.05 -
TrendMicro 9.120.0.1004 2010.07.06 TSPY_OBFUSCA.HAF
TrendMicro-HouseCall 9.120.0.1004 2010.07.06 TSPY_OBFUSCA.HAF
VBA32 3.12.12.5 2010.07.05 MSIL.Agent.NCC
ViRobot 2010.6.29.3912 2010.07.06 -
VirusBuster 5.0.27.0 2010.07.05 -
Information additionnelle
File size: 47104 bytes
MD5...: 2827f81840bccff40e18964da9757752
SHA1..: f93a90c4747dfb00fc2f8a663c309bf338e82063
SHA256: b0e87554fc1c6e7358615c0b8dc89919611511f576bf94b44b5d9ec77d30d030
ssdeep: 768:JZJm4mFvmISdZmeDwmULMj3SD6rCbcXxE01KL9FiR2Th:TY2XatLMj5OAH1K
bic
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc50e
timedatestamp.....: 0x4b9537ee (Mon Mar 08 17:46:22 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2000 0xa514 0xa600 5.57 aef79d50f98dcb7fffee5a118a42feee
.sdata 0xe000 0x90 0x200 1.68 3187ec3c999961c9a79a1d4922f65c87
.rsrc 0x10000 0x9cc 0xa00 4.02 1d9d7fce8a62c4522d7e836298b30547
.reloc 0x12000 0xc 0x200 0.08 520eb3b498427b12256c07f2276368e3

( 1 imports )
> mscoree.dll: _CorExeMain

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic CIL Executable (.NET, Mono, etc.) (67.4%)
Windows Screen Saver (12.0%)
Win32 Executable Generic (7.8%)
Win32 Dynamic Link Library (generic) (6.9%)
Win16/32 Executable Delphi generic (1.9%)
sigcheck:
publisher....: n/a
copyright....: Copyright (c) 2009
product......: n/a
description..:
original name: b.exe
internal name: b.exe
file version.: 1.0.0.0
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Réponse 13 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 16:24
Ok, il est accompagné par ce charmant dogs.exe :)

-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ". 

:files

c:\program files\Internet Explorer\dogs.exe
c:\program files\Internet Explorer\hid.exe
c:\program files\Internet Explorer\csrss.exe

:commands

[emptytemp]


[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:33
All processes killed
========== FILES ==========
File/Folder c:\program files\Internet Explorer\dogs.exe not found.
c:\program files\Internet Explorer\hid.exe moved successfully.
File/Folder c:\program files\Internet Explorer\csrss.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: lisapou
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 22139890 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: titi
->Temp folder emptied: 7765 bytes
->Temporary Internet Files folder emptied: 359599 bytes
->Java cache emptied: 10723623 bytes
->FireFox cache emptied: 44162381 bytes
->Google Chrome cache emptied: 56951434 bytes
->Flash cache emptied: 1594 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1138704 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 129,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 07062010_162857

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 14 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 16:36
Ok bonne nouvelle on en a viré un :)

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc : 

:dir

c:\program files\Internet Explorer


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

Puis refais également un rapport ZHPDiag s'il te plait.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:37
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 16:37 on 06/07/2010 by titi (Administrator - Elevation successful)

========== dir ==========

c:\program files\Internet Explorer - Parameters: "(none)"

---Files---
csrss.exe ---hs- 205824 bytes [14:33 06/07/2007] [14:33 06/07/2010]
custsat.dll -----c 33792 bytes [17:54 13/08/2007] [17:54 13/08/2007]
dogs.exe ---hs- 57856 bytes [14:34 06/07/2010] [14:34 06/07/2010]
ExtExport.exe -----c 144384 bytes [02:35 08/03/2009] [02:35 08/03/2009]
hid.exe ---hs- 47104 bytes [14:34 06/07/2010] [14:34 06/07/2010]
hmmapi.dll --a--c 68608 bytes [20:07 26/11/2008] [02:24 08/03/2009]
ie8props.propdesc -----c 2649 bytes [19:05 11/01/2009] [19:05 11/01/2009]
iecompat.dll ------ 102912 bytes [02:35 08/03/2009] [05:11 12/05/2009]
iedvtool.dll ------ 743424 bytes [02:35 08/03/2009] [10:33 06/05/2010]
iedw.exe --a--c 69120 bytes [20:25 26/11/2008] [17:44 13/08/2007]
ieproxy.dll ------ 247808 bytes [17:54 13/08/2007] [10:33 06/05/2010]
iexplore.exe --a--- 638816 bytes [20:07 26/11/2008] [12:09 08/03/2009]
iexplore.exe.mui -----c 16384 bytes [12:16 08/03/2009] [12:16 08/03/2009]
jsdbgui.dll -----c 521216 bytes [02:35 08/03/2009] [02:35 08/03/2009]
jsdebuggeride.dll -----c 121344 bytes [02:35 08/03/2009] [02:35 08/03/2009]
JSProfilerCore.dll -----c 118272 bytes [02:35 08/03/2009] [02:35 08/03/2009]
jsprofilerui.dll -----c 233984 bytes [02:35 08/03/2009] [02:35 08/03/2009]
Music.OD --a--- 35 bytes [09:43 19/05/2010] [09:43 19/05/2010]
pdm.dll -----c 355832 bytes [16:20 07/01/2009] [16:20 07/01/2009]
sqmapi.dll ------ 134144 bytes [16:20 07/01/2009] [16:20 07/01/2009]
xpshims.dll ------ 12800 bytes [02:33 08/03/2009] [10:33 06/05/2010]

---Folders---
Connection Wizard d----- [13:30 16/11/2008]
fr-fr d----- [22:32 29/11/2008]
MUI d----- [22:15 02/12/2008]
PLUGINS d----- [13:31 16/11/2008]
SIGNUP d----- [13:30 16/11/2008]

-=End Of File=-
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:40
https://www.cjoint.com/?hgqNNnPEOa
0
Réponse 15 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 16:39
Oula non pas bonne nouvelle. L'infection se recharge à chaque démarrage.

-+-+-+-+-> GMER <-+-+-+-+-


[x] Rends toi sur cette page puis clique sur " Download EXE " pour télécharger GMER ( renommé ).

[x] Lance le, GMER va scanner ton PC automatiquement.

[x] Laisse GMER travailler.

[x] A la fin du scan, si des lignes rouges sont trouvées, fais clic droit dessus puis :

- Delete service
- Delete files
- Kill process

[x] Clique ensuite sur "save" , sauvegarde le rapport puis copie/colle son contenu dans ton prochain message.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 16:57
aie ça plante... j'ai un message qui dit "ohv5nkgh.exe a rencontré un problème et doit fermer". Je ne sais pas si c'est lié mais depuis quelques manips j'ai ce message d'erreur au démarrage de l'ordi : c:\WINDOWS\daemon.dll error!
0
Réponse 16 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 17:50
Petite erreur de ma part, refais systemlook avec ceci :

:dir

c:\program files\Internet Explorer /md5

:filefind

*music system*
csrss.exe
dogs.exe
hid.exe

:regfind

music system
csrss.exe
dogs.exe
hid.exe
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 17:54
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 17:53 on 06/07/2010 by titi (Administrator - Elevation successful)

========== dir ==========

c:\program files\Internet Explorer - Parameters: "/md5"

---Files---
csrss.exe ---hs- 205824 bytes [14:33 06/07/2007] [14:33 06/07/2010] 15415D3E32E6E763F63CC7538CB2B27C
custsat.dll -----c 33792 bytes [17:54 13/08/2007] [17:54 13/08/2007] 68D36448ECABC1E03C20CD2BB3B3DE9F
dogs.exe ---hs- 57856 bytes [15:22 04/07/2007] [15:22 06/07/2010] C0D07AE6FC5D1A1373EA0CFBD4B9AE2A
ExtExport.exe -----c 144384 bytes [02:35 08/03/2009] [02:35 08/03/2009] 44D37A87F00D8684AD907DAE295F67FB
hid.exe ---hs- 47104 bytes [15:22 04/07/2007] [15:22 06/07/2010] 2827F81840BCCFF40E18964DA9757752
hmmapi.dll --a--c 68608 bytes [20:07 26/11/2008] [02:24 08/03/2009] C44E7A5BEA311BD8F3DD973F107F24EC
ie8props.propdesc -----c 2649 bytes [19:05 11/01/2009] [19:05 11/01/2009] 8F7D7A1A240F3EC6FF4E55F87DC27BA0
iecompat.dll ------ 102912 bytes [02:35 08/03/2009] [05:11 12/05/2009] 75D75F5DFAE1C709EE003643A2F1BC9D
iedvtool.dll ------ 743424 bytes [02:35 08/03/2009] [10:33 06/05/2010] 573BCE2232C52E6D08F5B4C816121B6F
iedw.exe --a--c 69120 bytes [20:25 26/11/2008] [17:44 13/08/2007] 97DEAFCDB4C4E0A97894C7A0F9778CF5
ieproxy.dll ------ 247808 bytes [17:54 13/08/2007] [10:33 06/05/2010] D1C9E0199A223E9C2D13979F3B6D95ED
iexplore.exe --a--- 638816 bytes [20:07 26/11/2008] [12:09 08/03/2009] B60DDDD2D63CE41CB8C487FCFBB6419E
iexplore.exe.mui -----c 16384 bytes [12:16 08/03/2009] [12:16 08/03/2009] E63206CF67AC492F9338B628C28C5FBF
jsdbgui.dll -----c 521216 bytes [02:35 08/03/2009] [02:35 08/03/2009] 33DB6E706FD3A2271033C5D29B3D6F76
jsdebuggeride.dll -----c 121344 bytes [02:35 08/03/2009] [02:35 08/03/2009] 3494AF094CFB1D1B9A3C1CE255492B6C
JSProfilerCore.dll -----c 118272 bytes [02:35 08/03/2009] [02:35 08/03/2009] D68CC4E775420716B6ABC4D188D5D316
jsprofilerui.dll -----c 233984 bytes [02:35 08/03/2009] [02:35 08/03/2009] 0F6A0675181D3AE76755986F3BF9E598
Music.OD --a--- 35 bytes [09:43 19/05/2010] [09:43 19/05/2010] 4D0237E8CDAA540D908B206008F861DC
pdm.dll -----c 355832 bytes [16:20 07/01/2009] [16:20 07/01/2009] 3CA2DFD1EE857CDE7DCCF4235F52D142
sqmapi.dll ------ 134144 bytes [16:20 07/01/2009] [16:20 07/01/2009] 5EB87BA0B93CA7E894FC8002E3CE4C2A
xpshims.dll ------ 12800 bytes [02:33 08/03/2009] [10:33 06/05/2010] E9AE5B85B0BA6517536D575198A75E73

---Folders---
Connection Wizard d----- [13:30 16/11/2008]
fr-fr d----- [22:32 29/11/2008]
MUI d----- [22:15 02/12/2008]
PLUGINS d----- [13:31 16/11/2008]
SIGNUP d----- [13:30 16/11/2008]

========== filefind ==========

Searching for "*music system*"
C:\Documents and Settings\titi\Menu Démarrer\Programmes\Démarrage\Music System.exe ------ 205824 bytes [09:42 19/05/2010] [12:19 10/05/2010] 15415D3E32E6E763F63CC7538CB2B27C

Searching for "csrss.exe"
C:\Program Files\Internet Explorer\csrss.exe ---hs- 205824 bytes [14:33 06/07/2007] [14:33 06/07/2010] 15415D3E32E6E763F63CC7538CB2B27C
C:\WINDOWS\$NtServicePackUninstall$\csrss.exe -----c 4096 bytes [20:23 26/11/2008] [12:00 28/08/2001] C111B3320254C61FF096E69786796FAA
C:\WINDOWS\ServicePackFiles\i386\csrss.exe -----c 6144 bytes [20:24 26/11/2008] [18:34 13/04/2008] E0E8A531CFCE1C2E5D79F683282C10C3
C:\WINDOWS\system32\csrss.exe --a--- 6144 bytes [12:00 28/08/2001] [18:34 13/04/2008] E0E8A531CFCE1C2E5D79F683282C10C3

Searching for "dogs.exe"
C:\Program Files\Internet Explorer\dogs.exe ---hs- 57856 bytes [15:22 04/07/2007] [15:22 06/07/2010] C0D07AE6FC5D1A1373EA0CFBD4B9AE2A

Searching for "hid.exe"
C:\Program Files\Internet Explorer\hid.exe ---hs- 47104 bytes [15:22 04/07/2007] [15:22 06/07/2010] 2827F81840BCCFF40E18964DA9757752

========== regfind ==========

Searching for "music system"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"="C:\Program Files\Internet Explorer\csrss.exe"

Searching for "csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
"a"="C:\Program Files\Internet Explorer\csrss.exe"
[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"="C:\Program Files\Internet Explorer\csrss.exe"

Searching for "dogs.exe"
No data found.

Searching for "hid.exe "
No data found.

-=End Of File=-
0
Réponse 17 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
6 juil. 2010 à 17:57
-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ". 


:reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"=-

[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"=-


:files

C:\Documents and Settings\titi\Menu Démarrer\Programmes\Démarrage\Music System.exe
C:\Program Files\Internet Explorer\csrss.exe
C:\Program Files\Internet Explorer\dogs.exe
C:\Program Files\Internet Explorer\hid.exe

:commands

[emptytemp]


[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
6 juil. 2010 à 17:59
je dois y aller, je reprends plus tard, merci mille fois pour ton aide
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 00:36
problème : quand je clique sur moveit ça fait planter l'ordi : il reboote
0
Réponse 18 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 juil. 2010 à 00:41
On va passer par combofix.

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour lisapou /!\

[x] Copie le texte en gras ci dessous :


Killall::

File::

C:\Documents and Settings\titi\Menu Démarrer\Programmes\Démarrage\Music System.exe
C:\Program Files\Internet Explorer\csrss.exe
C:\Program Files\Internet Explorer\dogs.exe
C:\Program Files\Internet Explorer\hid.exe

Registry::

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"=-

[HKEY_USERS\S-1-5-21-854245398-583907252-725345543-1005\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Music System"=-

Dirlook::

C:\Program Files\Internet Explorer


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 08:53
ComboFix 10-07-05.03 - titi 07/07/2010 8:41.4.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.2047.1574 [GMT 2:00]
Lancé depuis: c:\documents and settings\titi\Bureau\infection ordi traitée le 5 juillet\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\titi\Bureau\infection ordi traitée le 5 juillet\CFScript.txt
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

FILE ::
"c:\documents and settings\titi\Menu Démarrer\Programmes\Démarrage\Music System.exe"
"c:\program files\Internet Explorer\csrss.exe"
"c:\program files\Internet Explorer\dogs.exe"
"c:\program files\Internet Explorer\hid.exe"
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-07 au 2010-07-07 ))))))))))))))))))))))))))))))))))))
.

2010-07-06 22:30 . 2010-07-06 22:30 -------- d-----w- C:\_OTM
2010-07-06 15:23 . 2010-07-06 15:23 -------- d-----w- c:\program files\DAEMON Tools Pro
2010-07-06 15:13 . 2010-07-06 15:13 685816 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\titi\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-06 06:49 . 2010-07-06 06:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-06 06:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-05 19:57 . 2010-07-05 19:57 7652 ----a-w- C:\UsbFix_Upload_Me_CHARLESHUBERT.zip
2010-07-05 19:29 . 2010-07-05 19:57 -------- d-----w- C:\UsbFix
2010-07-05 19:02 . 2010-07-06 14:38 -------- d-----w- c:\program files\ZHPDiag
2010-06-23 18:32 . 2010-06-23 18:32 -------- d-----w- c:\program files\Uniblue
2010-06-22 19:15 . 2010-06-22 19:15 -------- d-----w- c:\documents and settings\titi\Application Data\Uniblue
2010-06-22 19:02 . 2010-06-22 19:09 -------- d-----w- c:\program files\RegCleaner
2010-06-10 17:24 . 2010-05-06 10:33 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-06 14:29 . 2010-03-10 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9
2010-06-23 18:57 . 2010-02-10 17:49 -------- d-----w- c:\documents and settings\titi\Application Data\vlc
2010-06-23 18:56 . 2009-03-06 19:24 -------- d-----w- c:\documents and settings\titi\Application Data\dvdcss
2010-06-22 20:24 . 2001-08-28 12:00 85404 ----a-w- c:\windows\system32\perfc00C.dat
2010-06-22 20:24 . 2001-08-28 12:00 513080 ----a-w- c:\windows\system32\perfh00C.dat
2010-06-22 19:21 . 2008-12-07 16:13 -------- d-----w- c:\program files\Yahoo!
2010-06-11 19:24 . 2009-01-18 18:41 -------- d-----w- c:\documents and settings\titi\Application Data\XnView
2010-06-10 19:45 . 2008-11-29 22:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-06-07 16:31 . 2008-12-02 22:19 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-03 17:50 . 2008-11-29 14:32 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-06-03 17:50 . 2008-11-29 14:32 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-06-01 21:03 . 2010-06-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\hps
2010-06-01 20:54 . 2010-06-01 20:54 -------- d-----w- c:\program files\Carrefour Online
2010-05-18 18:39 . 2009-06-20 14:43 -------- d-----w- c:\program files\Google
2010-05-06 10:33 . 2008-11-26 20:06 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2001-08-28 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2001-08-28 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2009-05-13 21:55 . 2009-05-13 21:55 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-13 21:55 . 2009-05-13 21:55 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of c:\program files\Internet Explorer ----

2010-05-19 09:43 . 2010-05-19 09:43 35 ----a-w- c:\program files\Internet Explorer\Music.OD
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin7.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin6.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin5.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin4.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin3.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin2.dll
2009-06-26 21:59 . 2009-06-26 21:59 143360 -c--a-w- c:\program files\Internet Explorer\PLUGINS\npqtplugin.dll
2009-06-26 21:59 . 2009-06-26 21:59 4208 -c--a-w- c:\program files\Internet Explorer\PLUGINS\QuickTimePlugin.class
2009-03-08 12:18 . 2009-03-08 12:18 40960 -c----w- c:\program files\Internet Explorer\fr-fr\iedvtool.dll.mui
2009-03-08 12:17 . 2009-03-08 12:17 2560 -c----w- c:\program files\Internet Explorer\fr-fr\jsdebuggeride.dll.mui
2009-03-08 12:17 . 2009-03-08 12:17 2560 -c----w- c:\program files\Internet Explorer\fr-fr\JSProfilerCore.dll.mui
2009-03-08 12:17 . 2009-03-08 12:17 24576 -c----w- c:\program files\Internet Explorer\fr-fr\jsdbgui.dll.mui
2009-03-08 12:16 . 2009-03-08 12:16 16384 -c----w- c:\program files\Internet Explorer\iexplore.exe.mui
2009-03-08 12:15 . 2009-03-08 12:15 16384 -c----w- c:\program files\Internet Explorer\fr-fr\jsprofilerui.dll.mui
2009-03-08 02:35 . 2010-05-06 10:33 743424 ------w- c:\program files\Internet Explorer\iedvtool.dll
2009-03-08 02:35 . 2009-03-08 02:35 233984 -c----w- c:\program files\Internet Explorer\jsprofilerui.dll
2009-03-08 02:35 . 2009-03-08 02:35 144384 -c----w- c:\program files\Internet Explorer\ExtExport.exe
2009-03-08 02:35 . 2009-05-12 05:11 102912 ------w- c:\program files\Internet Explorer\iecompat.dll
2009-03-08 02:35 . 2009-03-08 02:35 118272 -c----w- c:\program files\Internet Explorer\JSProfilerCore.dll
2009-03-08 02:35 . 2009-03-08 02:35 521216 -c----w- c:\program files\Internet Explorer\jsdbgui.dll
2009-03-08 02:35 . 2009-03-08 02:35 121344 -c----w- c:\program files\Internet Explorer\jsdebuggeride.dll
2009-03-08 02:33 . 2010-05-06 10:33 12800 ------w- c:\program files\Internet Explorer\xpshims.dll
2009-01-11 19:05 . 2009-01-11 19:05 2649 -c----w- c:\program files\Internet Explorer\ie8props.propdesc
2009-01-07 16:20 . 2009-01-07 16:20 134144 ------w- c:\program files\Internet Explorer\sqmapi.dll
2009-01-07 16:20 . 2009-01-07 16:20 355832 -c----w- c:\program files\Internet Explorer\pdm.dll
2008-11-26 20:25 . 2007-08-13 17:44 69120 -c--a-w- c:\program files\Internet Explorer\iedw.exe
2008-11-26 20:07 . 2009-03-08 02:24 68608 -c--a-w- c:\program files\Internet Explorer\hmmapi.dll
2008-11-26 20:07 . 2009-03-08 12:09 638816 ----a-w- c:\program files\Internet Explorer\iexplore.exe
2008-11-26 20:07 . 2008-04-13 18:34 218624 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe
2008-11-26 20:07 . 2002-08-09 20:57 2921 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\phone.icw
2008-11-16 13:30 . 2001-08-28 12:00 132 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\support.icw
2008-11-16 13:30 . 2001-08-28 12:00 197 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\msn.isp
2008-11-16 13:30 . 2001-08-28 12:00 158 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\msicw.isp
2008-11-16 13:30 . 2001-08-28 12:00 851 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\state.icw
2008-11-16 13:30 . 2001-08-28 12:00 19 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\phone.ver
2008-11-16 13:30 . 2001-08-28 12:00 352 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwip.dun
2008-11-16 13:30 . 2001-08-28 12:00 566 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwx25c.dun
2008-11-16 13:30 . 2001-08-28 12:00 617 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwx25b.dun
2008-11-16 13:30 . 2001-08-28 12:00 566 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwx25a.dun
2008-11-16 13:30 . 2008-04-13 18:33 32768 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwdl.dll
2008-11-16 13:30 . 2001-08-28 12:00 40960 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\trialoc.dll
2008-11-16 13:30 . 2008-04-13 18:34 24576 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwrmind.exe
2008-11-16 13:30 . 2001-08-28 12:00 65536 ----a-w- c:\program files\Internet Explorer\Connection Wizard\icwres.dll
2008-11-16 13:30 . 2008-04-13 18:33 49152 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwutil.dll
2008-11-16 13:30 . 2008-04-13 18:33 61440 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwconn.dll
2008-11-16 13:30 . 2008-04-13 18:33 176128 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwhelp.dll
2008-11-16 13:30 . 2001-08-28 12:00 73728 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwtutor.exe
2008-11-16 13:30 . 2001-08-28 12:00 16384 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\isignup.exe
2008-11-16 13:30 . 2008-04-13 18:34 20480 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\inetwiz.exe
2008-11-16 13:30 . 2008-04-13 18:34 86016 -c--a-w- c:\program files\Internet Explorer\Connection Wizard\icwconn2.exe
2008-11-16 13:30 . 2009-03-08 01:45 460 -c--a-w- c:\program files\Internet Explorer\SIGNUP\install.ins
2008-07-25 09:16 . 2008-07-25 09:16 158720 -c--a-w- c:\program files\Internet Explorer\MUI\0409\mscorier.dll
2007-09-26 17:31 . 2009-03-08 12:16 16384 -c--a-w- c:\program files\Internet Explorer\fr-fr\iexplore.exe.mui
2007-09-26 17:31 . 2007-09-26 17:31 5632 -c----w- c:\program files\Internet Explorer\fr-fr\iedw.exe.mui
2007-08-13 17:54 . 2007-08-13 17:54 33792 -c----w- c:\program files\Internet Explorer\custsat.dll
2007-08-13 17:54 . 2010-05-06 10:33 247808 ------w- c:\program files\Internet Explorer\ieproxy.dll
2007-08-13 17:17 . 2009-03-08 12:17 12288 -c--a-w- c:\program files\Internet Explorer\fr-fr\hmmapi.dll.mui
2005-12-23 07:59 . 2005-12-23 07:59 150016 -c--a-w- c:\program files\Internet Explorer\MUI\040C\mscorier.dll


((((((((((((((((((((((((((((( SnapShot@2010-07-06_12.21.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-07 06:46 . 2010-07-07 06:46 16384 c:\windows\temp\Perflib_Perfdata_69c.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-20 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-07-30 22528]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-05-26 413696]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-27 61440]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-03 2065248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-03-10 19:36 12464 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^titi^Menu Démarrer^Programmes^Démarrage^Vente Flash.lnk]
path=c:\documents and settings\titi\Menu Démarrer\Programmes\Démarrage\Vente Flash.lnk
backup=c:\windows\pss\Vente Flash.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-06-20 14:43 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Spotify\\spotify.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\aMSN\\bin\\wish.exe"=
"c:\\Program Files\\Ubisoft\\SCRABBLE® Interactif EDITION 2007\\Scrabble2007.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"17976:TCP"= 17976:TCP:BitComet 17976 TCP
"17976:UDP"= 17976:UDP:BitComet 17976 UDP
"18865:TCP"= 18865:TCP:BitComet 18865 TCP
"18865:UDP"= 18865:UDP:BitComet 18865 UDP
"49568:TCP"= 49568:TCP:BitComet 49568 TCP
"49568:UDP"= 49568:UDP:BitComet 49568 UDP

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [29/11/2008 16:32 216200]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [29/11/2008 16:32 242896]
R1 fwdrv;Kerio Personal Firewall Driver;c:\windows\system32\drivers\FWDRV.SYS [29/11/2008 16:48 102912]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [10/03/2010 21:36 916760]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [10/03/2010 21:36 308064]
S2 gupdate1c9f50a7a3645a8;Service Google Update (gupdate1c9f50a7a3645a8);c:\program files\Google\Update\GoogleUpdate.exe [24/06/2009 22:29 133104]
S3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [13/11/2005 01:27 26112]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/07/2010 17:13 685816]
.
Contenu du dossier 'Tâches planifiées'

2010-07-07 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-20 20:28]

2010-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]

2010-07-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-06-24 20:29]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\titi\Application Data\Mozilla\Firefox\Profiles\9fk85ota.default\
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-07 08:47
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3400)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\AVG\AVG9\avgchsvx.exe
c:\program files\AVG\AVG9\avgrsx.exe
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG9\avgnsx.exe
c:\windows\system32\CAP3RSK.EXE
c:\program files\AVG\AVG9\avgcsrvx.exe
c:\windows\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Heure de fin: 2010-07-07 08:50:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-07-07 06:50
ComboFix2.txt 2010-07-06 22:59
ComboFix3.txt 2010-07-06 13:37
ComboFix4.txt 2010-07-06 12:22

Avant-CF: 2 746 384 384 octets libres
Après-CF: 2 732 949 504 octets libres

- - End Of File - - BD3549085B2787E6C65D16830AC4E893
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 10:56
bonjour Xplode, voilà ce que AVG m'a affiché après le scan que je viens de faire :
"J:\_OTM\MovedFiles\07062010_162857\c_program files\Internet Explorer\hid.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP441\A0087556.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP441\A0087555.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0087431.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0087430.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0086431.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0085434.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0085433.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0085422.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP440\A0085421.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP439\A0085413.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP439\A0085412.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP439\A0084415.exe";"Cheval de Troie : Dropper.Agent.VDA";"Placé en quarantaine"
"C:\System Volume Information\_restore{64416D61-A481-4EA2-BF55-24B45C13B887}\RP439\A0084414.exe";"Cheval de Troie : Dropper.Agent.VDG";"Placé en quarantaine"
0
Réponse 19 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 juil. 2010 à 12:18
Pas d'inquiétude, c'est normal. Peux tu me refaire un ZHPDiag stp?
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 12:34
ah tu es revenu !!!!! ouf :-)
oui tout de suite
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 12:42
https://www.cjoint.com/?hhmOiwGCef
0
Réponse 20 / 21
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
7 juil. 2010 à 12:50
Bonne nouvelle, on l'a éliminé ;)

On va faire un peu de ménage puis on terminera :

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


[HKCU\Software\YUANSOFT]
O44 - LFC:[MD5.9E605DEBE6B8D230B86DAFA869605B8E] - 05/07/2010 - 20:57:18 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_CHARLESHUBERT.zip [7652]
O64 - Services: CurCS - (.not file.) - axlyypob (axlyypob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AXLYYPOB
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O44 - LFC:[MD5.312B8436DCDFEAABCEFD1C25838220CB] - 05/07/2010 - 20:57:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt [11965]



[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
lisapou Messages postés 34 Date d'inscription lundi 5 juillet 2010 Statut Membre Dernière intervention 17 septembre 2012
7 juil. 2010 à 12:54
Rapport de ZHPFix v1.12.3116 par Nicolas Coolman, Update du 05/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-07-07-2010-12-54-11.txt
Run by titi at 07/07/2010 12:54:11
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
HKCU\Software\YUANSOFT => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - axlyypob (axlyypob) .(.Pas de propriétaire - Pas de description.) - LEGACY_AXLYYPOB => Clé supprimée avec succès

========== Elément de données du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

========== Fichier ==========
c:\usbfix_upload_me_charleshubert.zip => Supprimé et mis en quarantaine
c:\usbfix.txt => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé du Registre
1 : Elément de données du Registre
2 : Fichier


End of the scan
0

Discussions similaires

Présence ou non de cheval de troie ?
hunter55 -
Malekal_morte- -

14 réponses
L'antivirus ESET NOD32 bloque UPTOBOX ( HTML/ScrInject.B ).
Logan -
Snoopyx -

10 réponses
J'ai recu un message cheval de troie
am -
DeNisCoOl -

1 réponse
windows defender cheval de troie
dplonguet -
Faarid.31 -

3 réponses
Message alerte virus cheval de troie Mac
leslievanne -
Helo -

9 réponses