Pc qui s'éteint sous Spybot = Problème Résolu/Fermé

Question

Bonjour, 

J'ai récupéré sur mon PC de bureau un nouveau HDD, mais le disque dur qu'on m'a installé n'était pas vierge...
Je pense même qu'il est bien vérolé!

J'ai commencé par faire un petit nettoyage de programmes, puis passé un coup de Ccleaner mais quand je scanne le PC avec Spybot, il plante systématiquement et s'éteint en plein milieu du scan.

Je ne suis pas expert en la matière, aussi, je me tourne vers vous si vous avez une solution à m'apporter, svp.

Merci d'avance pour vos réponses.

Mathieu

P.S.: Ci dessous, le rapport HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:59, on 08/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Autorun Eater\oldmcdonald.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\documents and settings\lydia\local settings\application data\acxkgiup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Autorun Eater\billy.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\lydia\Local Settings\Temporary Internet Files\Content.IE5\F73FPZ20\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Autorun Eater] C:\Program Files\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [\ERIC\EPSON BX300F Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "C:\DOCUME~1\lydia\LOCALS~1\Temp\E_S16.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [acxkgiup] "c:\documents and settings\lydia\local settings\application data\acxkgiup.exe" acxkgiup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDFAA8C6-2A0F-4A83-A0A3-7662D5395A69}: NameServer = 80.10.246.2,80.10.246.131
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Smart91 · Answer

Bonjour ,

Tu as une infection Navorpomo et magic Control.
Désintalle sybot, il est inutile aujourd'hui et ralentit ton PC.
Le site eOrezo.com est à proscrire. En installant des logiciels depuis ce site, tu seras envahi de pubs et la page de démarrage Internet Explorer redirigée, vers une page lo.st qui appartient à eoRezo...

Prévention Navipromo:

Ton PC a été infecté par l'ad-aware Navipromo/Magic Control qui affiche des publicitésintempestives.
Il s'installe via certains programmes, dont ceux-ci :

- Funky Emoticons
- go-astro
- GoRecord
- HotTVPlayer / HotTVPlayer & Paris Hilton
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Officiale Emule (Version d'Emule modifiée)
- Original Solitaire
- SuperSexPlayer
- Speed Downloading
- Sudoplanet
- Webmediaplayer

Fais attention de ne pas faire la même erreur, donc évite ces programmes

Fais ceci:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/ 
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : 
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Smart

M-le-Maudit · Answer

Merci pour ton aide! 

Voici le rapport demandé:

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:35:56 le 08/07/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
lydia@SERVEUR ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Documents and Settings\lydia\Application Data\EoRezo
0,Dossier supprimé: C:\Program Files\EoRezo
0,Fichier supprimé: C:\Documents and Settings\lydia\Local Settings\Application Data\acxkgiup_nav.dat
2,Fichier supprimé: C:\Documents and Settings\lydia\Local Settings\Application Data\acxkgiup.dat
2,Fichier supprimé: C:\Documents and Settings\lydia\Local Settings\Application Data\acxkgiup.exe

(!) -- Fichiers temporaires supprimés.


1,Clé supprimée: HKLM\Software\Classes\CLSID\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7B76B90-3455-4AE6-A752-EAC4D19689E5}
1,Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\acxkgiup
0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
0,Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
0,Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
0,Clé supprimée: HKLM\Software\EoRezo
0,Clé supprimée: HKCU\Software\EoRezo
0,Clé supprimée: HKCU\Software\fcn
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Eoengine
0,Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Softwarehelper
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1

3,Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|acxkgiup


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 63 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 08/07/2010 (912 Octet(s)) 

Fin à: 15:37:49, 08/07/2010 
 
============== E.O.F ==============

Smart91 · Answer

OK. Maintenant fais ceci:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

-  Télécharge Malwarebytes
-  Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
-  Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) 
-  Lance une analyse complète en cliquant sur "Exécuter un examen complet"
-  Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
-  L'analyse peut durer un bon moment.....
-  Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
-  Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
-  Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

M-le-Maudit · Answer

Ca a été un peu long, mais voici le résultat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4292

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/07/2010 18:19:19
mbam-log-2010-07-08 (18-19-19).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 226365
Temps écoulé: 1 heure(s), 56 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\lydia\Local Settings\Application Data\acxkgiup_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Documents and Settings\lydia\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdate.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Documents and Settings\lydia\Application Data\EoRezo\SoftwareUpdate\SoftwareUpdateHP.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoRezoBHO.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2774240-536D-47D8-A1E9-1B007728BAE9}\RP266\A0027221.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2774240-536D-47D8-A1E9-1B007728BAE9}\RP266\A0027222.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2774240-536D-47D8-A1E9-1B007728BAE9}\RP266\A0027225.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2774240-536D-47D8-A1E9-1B007728BAE9}\RP266\A0027232.exe (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F2774240-536D-47D8-A1E9-1B007728BAE9}\RP266\A0027226.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.

Smart91 · Answer

OK. On a bien avancé. 
Relance MBAM et vide la quarantaine.
On va vérifier tout cela. 
Refais un scan ZHPDiag et poste le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

M-le-Maudit · Answer

Bonjour,

J'ai vidé la quarantaine mais subi un plantage en suivant; bizarre!


Voici le nouveau rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:51, on 09/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Autorun Eater\oldmcdonald.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Autorun Eater\billy.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Autorun Eater] C:\Program Files\Autorun Eater\oldmcdonald.exe
O4 - HKCU\..\Run: [\ERIC\EPSON BX300F Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEJE.EXE /FU "C:\DOCUME~1\lydia\LOCALS~1\Temp\E_S16.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDFAA8C6-2A0F-4A83-A0A3-7662D5395A69}: NameServer = 80.10.246.2,80.10.246.131
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Smart91 · Answer

Tu as posté un rapport Hijackthis. Je voulais un rapport ZHpDiag. Mais c'est de ma faute j'ai oublié de te donner la marche à suivre:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

M-le-Maudit · Answer

Je change de poste pour te répondre car le PC infecté a de nouveau planté au moment ou je voulais poster une réponse.

Depuis, impossible de redémarrer, plantage à chaque fois au démarrage de windows (config. normale).

Impossible également de démarrer en mode sans échec. Il s'éteint tout seul!

M-le-Maudit · Answer

Désolé pour le délai de réponse, je suis de retour sur le PC infecté!


Je viens de retenter après 20 min. de repos, ça a l'air de marcher mais ça m'inquiète!

En attendant, voici le lien demandé:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijd7CgOcC.txt

Smart91 · Answer

En effet tuas une infection par support amovibles (USB)
Pour ton information lis les dossiers c-dessous:
Infections par disques amovibles
Infections par disques amovibles 2

Maintenant tu fais ceci:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Aide en images : Tutoriel "Recherche"

Smart

M-le-Maudit · Answer

Et voilà le résultat!

############################## | UsbFix 7.016 | [Recherche]

Utilisateur: lydia (Administrateur) # SERVEUR [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 16:06:31 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 895 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (62 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 116 Go (116 Go libre(s) - 100%) [Données] # NTFS
E:\ -> CD-ROM
I:\ -> Disque amovible # 241 Mo (203 Mo libre(s) - 84%) [] # FAT

################## | Éléments infectieux |

M-le-Maudit · Answer

############################## | UsbFix 7.016 | [Recherche]

Utilisateur: lydia (Administrateur) # SERVEUR [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 16:06:31 | 09/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 895 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (62 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 116 Go (116 Go libre(s) - 100%) [Données] # NTFS
E:\ -> CD-ROM
I:\ -> Disque amovible # 241 Mo (203 Mo libre(s) - 84%) [] # FAT

################## | Éléments infectieux |

Présent! I:\2.bat
Présent! I:\winfile.jpg

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\F
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{1a6fc789-0a69-11df-866b-001fc6bd30eb}
Shell\AutoRun\Command = fk.exe
Shell\open\Command = fk.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{382ca0ca-89b6-11df-8682-001fc6bd30eb}
Shell\AutoRun\Command = bbjl2g.exe
Shell\open\Command = bbjl2g.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{497d53f5-fdbf-11dd-8632-001fc6bd30eb}
Shell\AutoRun\Command = F:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{61a71c24-8e2b-11dd-85c9-001fc6bd30eb}
Shell\AutoRun\Command = F:\b0j6j16.bat
Shell\explore\Command = F:\b0j6j16.bat
Shell\open\Command = F:\b0j6j16.bat

HKCU\.\.\.\.\Explorer\MountPoints2\{cbdace73-15fc-11de-864d-001fc6bd30eb}
Shell\Auto\Command = F:\launcher.exe
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{f15c7a2c-1615-11de-864e-001fc6bd30eb}
Shell\Auto\Command = F:\launcher.exe
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Smart91 · Answer

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : "Nettoyage"

Smart

M-le-Maudit · Answer

Je pourrai poursuivre au bureau lundi matin.
Merci pour ton aide et à lundi.

Bon week-end!

Smart91 · Answer

Ok. Pas de PB. A Lundi et Bon Week end à toi aussi

Smart

M-le-Maudit · Answer

Bonjour,

Voici le rapport de USBFix:

Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 895 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (62 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 116 Go (116 Go libre(s) - 100%) [Données] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1a6fc789-0a69-11df-866b-001fc6bd30eb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{382ca0ca-89b6-11df-8682-001fc6bd30eb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{61a71c24-8e2b-11dd-85c9-001fc6bd30eb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{cbdace73-15fc-11de-864d-001fc6bd30eb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f15c7a2c-1615-11de-864e-001fc6bd30eb}

################## | Listing |

[08/07/2010 - 15:37:50 | A | 3860] 	C:\Ad-Report-CLEAN[1].txt
[29/09/2008 - 15:11:13 | A | 0] 	C:\AUTOEXEC.BAT
[07/07/2010 - 15:40:29 | SH | 216] 	C:\boot.ini
[14/04/2008 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[29/09/2008 - 15:11:13 | A | 0] 	C:\CONFIG.SYS
[29/09/2008 - 15:17:11 | D ] 	C:\Documents and Settings
[29/09/2008 - 15:11:13 | RASH | 0] 	C:\IO.SYS
[29/09/2008 - 15:11:13 | RASH | 0] 	C:\MSDOS.SYS
[29/09/2008 - 15:40:02 | RHD ] 	C:\MSOCache
[14/04/2008 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | RASH | 252240] 	C:
tldr
[12/07/2010 - 09:31:47 | ASH | 1409286144] 	C:\pagefile.sys
[09/07/2010 - 12:23:28 | RD ] 	C:\Program Files
[12/07/2010 - 09:39:18 | SHD ] 	C:\RECYCLER
[29/09/2008 - 15:15:54 | SHD ] 	C:\System Volume Information
[12/07/2010 - 09:39:18 | D ] 	C:\UsbFix
[12/07/2010 - 09:39:19 | A | 864] 	C:\UsbFix.txt
[09/07/2010 - 13:15:35 | D ] 	C:\WINDOWS
[19/11/2009 - 04:02:39 | D ] 	D:\62fd3dfec7f877e1b61364
[08/07/2010 - 14:07:44 | RD ] 	D:\Mes images
[12/07/2010 - 09:39:18 | SHD ] 	D:\RECYCLER
[21/10/2008 - 08:43:31 | SHD ] 	D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport

Smart

gen-hackman · Answer

hello il manquait le lecteur I:\ infecté à la suppression

M-le-Maudit · Answer

Le lecteur I:\ est un lecteur de cartes branché en USB.
Peut-il être infecté?

Voici le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijvivdeHQ.txt

Smart91 · Answer

Le lecteur I:\ est un lecteur de cartes branché en USB. 
Peut-il être infecté? 
################## | Éléments infectieux | 

Présent! I:\2.bat 
Présent! I:\winfile.jpg 

Merci Gen de l'avoir fait remarqué
Relance USBFix option suppression et connectes le disque I

Smart

M-le-Maudit · Answer

Je viens de relancer USBFix. Le lecteur de cartes était bien connecté mais aucune carte n'était à l'intérieur.

Voici le rapport:
############################## | UsbFix 7.016 | [Suppression]

Utilisateur: lydia (Administrateur) # SERVEUR [ ]
Mis à jour le 05/07/10 par El Desaparecido / C_XX
Lancé à 11:30:48 | 12/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5200+
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 895 Mo 
C:\ (%systemdrive%) -> Disque fixe # 117 Go (62 Go libre(s) - 53%) [] # NTFS
D:\ -> Disque fixe # 116 Go (116 Go libre(s) - 100%) [Données] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{497d53f5-fdbf-11dd-8632-001fc6bd30eb}

################## | Listing |

[08/07/2010 - 15:37:50 | A | 3860] 	C:\Ad-Report-CLEAN[1].txt
[29/09/2008 - 15:11:13 | A | 0] 	C:\AUTOEXEC.BAT
[12/07/2010 - 09:39:31 | RASHD ] 	C:\Autorun.inf
[07/07/2010 - 15:40:29 | SH | 216] 	C:\boot.ini
[14/04/2008 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[29/09/2008 - 15:11:13 | A | 0] 	C:\CONFIG.SYS
[29/09/2008 - 15:17:11 | D ] 	C:\Documents and Settings
[29/09/2008 - 15:11:13 | RASH | 0] 	C:\IO.SYS
[29/09/2008 - 15:11:13 | RASH | 0] 	C:\MSDOS.SYS
[29/09/2008 - 15:40:02 | RHD ] 	C:\MSOCache
[14/04/2008 - 14:00:00 | RASH | 47564] 	C:\NTDETECT.COM
[14/04/2008 - 14:00:00 | RASH | 252240] 	C:
tldr
[12/07/2010 - 11:04:25 | ASH | 1409286144] 	C:\pagefile.sys
[09/07/2010 - 12:23:28 | RD ] 	C:\Program Files
[12/07/2010 - 11:33:39 | SHD ] 	C:\RECYCLER
[29/09/2008 - 15:15:54 | SHD ] 	C:\System Volume Information
[12/07/2010 - 11:33:39 | D ] 	C:\UsbFix
[12/07/2010 - 11:33:39 | A | 864] 	C:\UsbFix.txt
[09/07/2010 - 13:15:35 | D ] 	C:\WINDOWS
[19/11/2009 - 04:02:39 | D ] 	D:\62fd3dfec7f877e1b61364
[12/07/2010 - 09:39:31 | RASHD ] 	D:\Autorun.inf
[08/07/2010 - 14:07:44 | RD ] 	D:\Mes images
[12/07/2010 - 11:33:39 | SHD ] 	D:\RECYCLER
[21/10/2008 - 08:43:31 | SHD ] 	D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

gen-hackman · Answer

c'est de ca dont je te parlais :

Disque amovible # 241 Mo (203 Mo libre(s) - 84%) [] # FAT

M-le-Maudit · Answer

Je ne suis pas sûr, mais il s'agit peut-être du HDD externe de mon collègue qui a transféré les données.
Mais je ne l'ai plus sous la main.

gen-hackman · Answer

ok :)

M-le-Maudit · Answer

Alors Doc,
Est-ce que le rapport est bon ou il reste des infections?

gen-hackman · Answer

voila c'etait juste pour signaler ca.

 je laisse la personne qui t'a pris en charge continuer avec toi :)

Smart91 · Answer

Désolé pour le retard de ma réponse, mais je suis très occupé au boulot en cemoment et je risque de ne pas être disponible demain et jeudi

Ton rapport ne mntre plus rien de particulier je voudrais simlment vérifier un fichier
Peux-tu aller sur le site https://www.virustotal.com/gui/
Ti clique sur parcourir et tu mets ce fichier 
c:\documents and settings\lydia\local settings\application data\igwugma.exe
Ensuite tu fais envoyer ce fichier
Le fichier sera mis en fil d'attente et tu attends le rapport que tu poste dans ta prochaine réponse

Smart

M-le-Maudit · Answer

Bonjour,

Pardon également pour cette réponse tardive.

Je n'ai pas trouvé le fichier mentionné ci-dessus: ni par le chemin d'accès, ni par la recherche de fichier cachés.
Il a été probablement supprimé au cours du dernier nettoyage, non?

Tout semble fonctionner normalement.

Est-ce que je peux supprimer tous les petits logiciels de nettoyage ou pas encore?

A plus tard...

Mathieu

Smart91 · Answer

Hello lydia,

Je suis de retour. J'étais absent, car en séminaire avec ma société

En effet c'est presque terminé, il faut faire des mises à jour et oprtimiser ton PC.

Désinstalle par ajout/suppression de programmes toute les vesion de java 6 dont l'update est infèrieur à 21
Ensuite installe Java update 21 ==>  https://java.com/fr/download/uninstalltool.jsp

Vérifia mise à jour de Antivir, tu dois être à la version 9.0.0.77 

Vérifie que Adobe 9 est à la version 9.3.3 ==> lancer Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), de cliquer sur "Aide" puis sur "Rechercher les mises à jour" jusqu'à ce qu'il ne trouve plus de mises à jour.

Mise à jour flashplayer vers la version 10.1.53.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstallez l'lActiveX

Ensuite tu lances Hijacthis et tu fais un do Scan only et tu coches les lignes suivantes:
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Voilà pour moi c'est terminé, si tu as des questions n'hésite pas

Smart

Pc qui s'éteint sous Spybot = Problème

29 réponses

Discussions similaires

Newsletters