Alerte avec Avira AntiVir W32/Infector.Gen2

Question

Bonjour,
Aujourd'hui j'ai eu l'agréable surprise de me faire alerter toutes les 2 secondes par AntiVir Guard.

Au début, chaque fois qu'une alerte aparraissait, je la déplacais en quarantaine. Mais à force dans avoir tout le temps, j'ai lancer un scan de mon portable en espérant que le problème allait se résoudre, et au surprise:
>>  "1266 Des virus ou programmes indésirables ont été trouvés"

Vu que ça sentait pas très bon, j'ai du coup lancer un contrôle intégrale avec Malwarebytes mais il a trouvé qu'un seul fichier infecté que j'ai par la suite supprimé...

Bref, je ne m'y connais pas super bien en informatique, mais assez pour me rendre compte que j'ai un sérieux problème avec ma machine...

Quelqu'un pourrait-il m'aider s'il vous plait?


les détections de virus sont les suivantes :
- HTML/Feebs.Gen
- HTML/Rce.Gen
- HTML/Crypted.Gen
- W32/Infector.Gen2
- TR/Crypt.ASPM.Gen
- TR/Crypt.XPACK.Gen
- TR/Crypt.PEPM.Gen 
- TR/Crypt.FKM.Gen

Je vous en remercie d'avance.

Ps: je peux fournir les rapports de scan, etc..



Configuration: Windows XP / Internet Explorer 7.0

jacques.gache · Answer

bonjour, postes un RSIT pour voir plus , merci  

et si tu as le rapport de antivir poste le aussi !!

* Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau. 
* Double clique sur RSIT.exe pour lancer l'outil. 
* laisses le chois 1 month  
* Clique sur "Continue" à l'écran Disclaimer. 
* Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence. 
* Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp 

ps:Les rapports se trouvent à cet endroit: 

C:\rsit\info.txt 

C:\rsit\log.txt 


Tutoriel pour t'aider 



Si les rapports passes pas sur la discution  car trop long ; 

envoie-le sur : http://www.cijoint.fr/index.php ,  

fais parcourir recherche le rapport  

puis sélectionne le rapport en double cliquand dessus 

et puis sur " cliquer ici pour déposer le fichier " 

un lien bleu de cette forme va apparaitre : 

Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier.  
C'est ce même lien que vous devrez transmettre à vos correspondants 
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt  


renvoie le lien tout frais dans ta prochaine reponse .

Cut94 · Answer

Bonjour Jaques et merci pour ton aide!

Les fichiers étants trop long, e les ai déposé sur le site que tu m'as indiqué.

Voici les liens pour le RSIT:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijdZbRt2X.txt

http://www.cijoint.fr/cjlink.php?file=cj201008/cijMUQyAoD.txt

Cut94 · Answer

Et voici le lien pour le rapport d'Antivir 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijtcTkn3F.txt 

(par contre l'ai du changer l'extension en *.txt parce que le site ci-joint.fr m'a mi un message comme quoi il n'accepte pas les fichiers *.log)... 

J'éspère que ça te convient comme cela...

jacques.gache · Answer

bonjour, sur les rapport de RSIT il y a bien des chose pas bonne on vas passer ad-remover et malwarebytes et on fais un point avec un hijackthis 

1) passes ad-remover directement en option nettoyage 

Déactives ton anti-virus et anti-spyware le temps du scan 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou:
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log ) 




2) fais un examen complet du pc avec malwarebytes


 !! ATTENTION !!! près de 2 heures de scan !!!

Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe


. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes
. rend-toi dans l'onglet, Recherche
. Sélectionnes  Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc si il le fait pas lui même
. une fois redémarré  double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/





3) fais un hijackthis de contrôle

tu as hijackthis sur ton pc car RSIT le télécharge en le renommant pour faire une partie de son rapport log.txt tu le trouveras ici: C:\Program Files	rend micro\Cut !.exe  tu vas dans le dossier et tu lances Cut !.exe  sinon tu le télécharges de nouveau et tu le lances 


télécharge Hijackthis : http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe


.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis

.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"


si besion d'aide pour l'installation  : https://www.androidworld.fr/


des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

Cut94 · Answer

Bonjour!

Voici le rapport Ad-report-clean.log

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:40:00 le 04/08/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Cut !@MIAMOR ( ) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\log_lobby.txt
0,Fichier supprimé: C:\log_lobby_dumper.txt
0,Dossier supprimé: C:\Poker\Poker 770
0,Dossier supprimé: C:\Poker\Titan Poker
0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Titan Poker.lnk
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Documents and Settings\Cut !\Application Data\Mozilla\FireFox\Profiles\sfzk4tsa.default\extensions	oolbar@ask.com
0,Fichier supprimé: C:\Documents and Settings\Cut !\Application Data\Mozilla\FireFox\Profiles\sfzk4tsa.default\searchplugins\askcom.xml
0,Dossier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\AskSearch
0,Fichier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\ASKSUTBLOG
0,Fichier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\Del_AskHPRFF.VBS
0,Fichier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\GLB1.tmp
0,Fichier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\liveplayer_exe.dat
0,Fichier supprimé: C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\liveplayer_skin.dat
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Ask & Record Toolbar
0,Dossier supprimé: C:\Program Files\Ask & Record Toolbar
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Cut !\Local Settings\Application Data\AskToolbar
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
0,Dossier supprimé: C:\Program Files\Everest Poker
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Poker 770
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Titan Poker
3,Fichier supprimé: C:\WINDOWS\Installer\a6ba5.msi   
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\searchplugins\zwunzi135.xml

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Cut !\Application Data\Mozilla\FireFox\Profiles\sfzk4tsa.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://eu.ask.com?o=14826&l=dir"); 
Ligne supprimée: user_pref("extensions.asktb.cbid", "PQ"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}... 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1274817718532"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "en_US"); 
Ligne supprimée: user_pref("extensions.asktb.o", "14912"); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.4.4.113,{f8305fbd-6c6a-4955-80f8-8e83c1c7201... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\Poker 770
0,Clé supprimée: HKLM\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\Poker 770
0,Clé supprimée: HKCU\Software\Titan Poker
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ask & Record Toolbar
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Poker 770
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Titan Poker
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker
0,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}
0,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.15 (fr)] **

-- C:\Documents and Settings\Cut !\Application Data\Mozilla\FireFox\Profiles\sfzk4tsa.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Cut !\Bureau
browser.search.defaultenginename, Winamp Search
browser.search.defaulturl, hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinamp...
browser.search.selectedEngine, Winamp Search
browser.startup.homepage_override.mstone, rv:1.9.0.15
keyword.URL, hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2621 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/08/2010 (8429 Octet(s)) 

Fin à: 11:43:25, 04/08/2010 
 
============== E.O.F ==============

Cut94 · Answer

Et voici le rapport Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 14:36:02
mbam-log-2010-08-04 (14-36-02).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 232152
Temps écoulé: 2 heure(s), 4 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\aec.sys (Rootkit.Bubnix) -> Delete on reboot.

Cut94 · Answer

Et pour finir, le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:55:56, on 04.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\System32\ElkCtrl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\DOCUME~1\CUT!~1\LOCALS~1\Temp\RtkBtMnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\microsoft\desktoplayer.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [BroadcomWireless] C:\Program Files\Broadcom\Wireless\Utility\WlanUtil.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Ask and Record FLV Service] "C:\Program Files\Ask & Record Toolbar\FLVSrvc.exe" /run
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Companion] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /systray /nologon
O4 - HKCU\..\Run: [{095568A2-BC8B-82F5-1DE7-7309D50B024A}] "C:\WINDOWS\system32\config\systemprofile\Application Data\Yker\lueda.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {28B66320-9687-4B13-8757-36F901887AB5} (CanvasX Class) - https://photoservice.fujicolor.de/ips-opdata/objects/canvasx.cab
O16 - DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} (JordanUploader Class) - https://photoservice.fujicolor.eu/ips-opdata/objects/jordan.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Configuration automatique de réseau câblé Dot3svc Mobile Device (Dot3svc Mobile Device) - Unknown owner - C:\WINDOWS\system32\acelpdecn.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting mnmsrvcTrkWks (mnmsrvcTrkWks) - Unknown owner - C:\WINDOWS\system32\adsldpcn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

Cut94 · Answer

Bonjour Jacques,

Juste une question pour le non connaisseur que je suis...

- "puis tu vides la quarantaine de malwarebytes, et tu fais ce qui suit..." 

Comment je fais, et où je trouve la quarantaine de malwarebytes?

Car dans le rapport malwarebytes que je t'ai transmis, il n'y a qu'un fichier infecté... qui a (suivant le rapport) été supprimé lors du redémarrage...

Merci de m'éclairer!..

archet9 · Answer

Salut jacques;)

Pas du tout sur que ceci soit règlé !!!

C:\WINDOWS\system32\drivers\aec.sys (Rootkit.Bubnix) -> Delete on reboot.


a+

archet9 · Answer

Edité!!!

C'est ton topjc jacquues...

Cut94 · Answer

Merci pour votre intérêt et aide!..

Voilà..

1) J'ai fixé les lignes indiquées

2) J'ai désinstallé les outils utilisée avec toolscleaner2

rapport:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cut !\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cut !\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Cut !\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Cut !\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files	rend micro\HijackThis: trouvé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cut !\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cut !\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Cut !\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files	rend micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\Cut !\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Program Files	rend micro\HijackThis\hijackthis.log: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files	rend micro\HijackThis: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!


3) J'ai fait un nettoyage avec Ccleaner
(par contre je ne suis pas sur de l'avoir fait correctement car tu m'as demandé de "juste cocher la première case vielles données du perfetch" (que j'ai fait) mais j'ai laissé les autres cases déjà cochées dans Internet Explorer, Windows Explorer et Système. Et lorsque j'ai cliqué sur analyse, ça à bloqué 20 min sur un fichier dès le début dans Internet Explorer / fichiers temporaires
nom:
C:\Documents and Settings\Cut !\Local Settings\Temporary Internet Files\Content.IE5\34TG3DCI\9943678_mp4_h264_aac[1].mp4
Du coup, nétant pas sur d'avoir fait juste, j'ai annulé, puis relancé une analyse en laissant coché cette fois, uniquement la case vielles données du perfetch.


Voilà, redis moi si c'est juste, ou si c'est normal que ça bloque sur un fichier lors de l'analyse (et qu'il faille du coup la refaire).

Sinon, pour le moment pas de changement. J'ai même eu une alerte Antivir Guard indiquant qu'un "virus ou programme indésirable" a été trouvé dans un fichier ....ccleaner...

Merci pour votre aide, et la suite!..

archet9 · Answer

édité...
Bon courage à vous...

Cut94 · Answer

Voici le rapport de Combofix

ComboFix 10-08-06.01 - Cut ! 07.08.2010   2:01.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.767.374 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cut !\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Cut !\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
PEV Error: UserFile

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\hpeBA.dll
c:\program files\Internet Explorer\dmlconf.dat
c:\program files\Internet Explorer\SET11.tmp
c:\program files\Internet Explorer\SET12.tmp
c:\program files\Microsoft\DesktopLayer.exe
c:\windows\system32\645770287.dat
c:\windows\system32\adsldpcn.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOT3SVC_MOBILE_DEVICE
-------\Legacy_MNMSRVCTRKWKS
-------\Legacy_SSHNAS
-------\Legacy_ZWUNZI_SERVICE
-------\Service_Dot3svc Mobile Device
-------\Service_mnmsrvcTrkWks


(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-07 au 2010-08-07  ))))))))))))))))))))))))))))))))))))
.

2010-08-06 18:37 . 2010-08-06 18:37	--------	d-----w-	c:\program files\CCleaner
2010-08-03 11:57 . 2010-08-06 18:32	--------	d-----w-	c:\program files	rend micro
2010-08-02 12:38 . 2010-08-07 00:06	--------	d-----w-	c:\program files\Microsoft
2010-07-14 10:36 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-09 12:17 . 2010-07-09 12:17	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-07-09 12:17 . 2010-07-09 12:17	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-06 21:53 . 2010-06-13 16:52	--------	d-----w-	c:\program files\Zattoo4
2010-08-06 21:52 . 2009-09-20 12:01	--------	d-----w-	c:\program files\Pinnacle
2010-08-06 21:49 . 2008-09-05 10:43	--------	d-----w-	c:\program files\LimeWire
2010-08-06 20:12 . 2010-06-24 16:02	142640	----a-w-	c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat
2010-08-02 16:56 . 2009-12-02 19:42	--------	d-----w-	c:\program files\Winamp Toolbar
2010-08-02 16:53 . 2009-01-23 18:24	--------	d-----w-	c:\program files\QuickTime
2010-08-02 16:36 . 2008-10-02 16:30	--------	d-----w-	c:\program files\PokerStars
2010-08-02 16:23 . 2009-01-23 18:26	--------	d-----w-	c:\program files\iTunes
2010-08-02 16:18 . 2008-09-05 10:46	--------	d-----w-	c:\program files\Google
2010-08-02 16:18 . 2008-09-02 11:19	--------	d-----w-	c:\program files\Full Tilt Poker
2010-08-02 16:16 . 2008-09-01 14:12	--------	d-----w-	c:\program files\Fichiers communs\Logitech
2010-08-02 16:03 . 2009-09-16 12:54	--------	d-----w-	c:\program files\AutoCAD LT 2010
2010-08-02 15:59 . 2008-09-11 14:33	--------	d-----w-	c:\program files\AutoCAD LT 2005
2010-08-02 15:58 . 2008-12-19 19:28	--------	d-----w-	c:\program files\Audacity
2010-08-02 15:58 . 2008-09-11 14:37	--------	d-----w-	c:\program files\AnswerWorks 4.0
2010-07-19 20:04 . 2010-07-19 20:04	12	----a-w-	c:\documents and settings\NetworkService\Application Data\vdnxlf.dat
2010-07-13 15:30 . 2010-01-29 00:36	--------	d-----w-	c:\documents and settings\Cut !\Application Data\Eviwu
2010-07-13 11:35 . 2009-01-11 20:27	--------	d-----w-	c:\documents and settings\Cut !\Application Data\Rurot
2010-07-06 20:39 . 2010-07-06 20:39	--------	d-----w-	c:\documents and settings\Cut !\Application Data\Malwarebytes
2010-07-06 20:38 . 2010-07-06 20:38	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-07-06 20:38 . 2010-07-06 20:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-07-06 14:26 . 2010-07-06 14:26	--------	d-----w-	c:\documents and settings\Cut !\Application Data\5368E1D22F5DA0F38B59A87506FE789D
2010-07-03 23:42 . 2010-07-03 23:42	--------	d-----w-	c:\documents and settings\Cut !\Application Data\ESTsoft
2010-07-03 23:42 . 2010-07-03 23:42	--------	d-----w-	c:\documents and settings\All Users\Application Data\ESTsoft
2010-07-03 23:42 . 2010-07-03 23:42	--------	d-----w-	c:\program files\ESTsoft
2010-07-02 20:28 . 2008-09-28 16:51	--------	d-----w-	c:\documents and settings\Cut !\Application Data\dvdcss
2010-07-02 19:47 . 2008-12-25 00:22	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-06-24 06:13 . 2003-04-24 12:00	84964	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-24 06:13 . 2003-04-24 12:00	510980	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-14 14:31 . 2008-09-01 13:35	744448	----a-w-	c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-27 68856]
"Sony Ericsson PC Companion"="c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" [2009-06-18 772096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechCameraAssistant"="c:\program files\Acer\OrbiCam\CameraAssistant.exe" [2006-06-26 331776]
"LogitechCameraService(E)"="c:\windows\System32\ElkCtrl.exe" [2004-11-01 262144]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-07-20 86016]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521]
"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2006-06-23 225280]
"SkyTel"="SkyTel.EXE" [2008-09-01 2879488]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-07 148888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"RTHDCPL"="RTHDCPL.EXE" [2008-09-01 16261632]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acc'l'rateur de d'marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-2-25 10872]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\WINDOWS\network diagnostic\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [07.11.2009 19:52 90112]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [07.11.2009 19:52 27632]
S0 hshtdh;hshtdh;c:\windows\system32\drivers\vtdgltbd.sys --> c:\windows\system32\drivers\vtdgltbd.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-08-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 15:57]

2010-08-06 c:\windows\Tasks\User_Feed_Synchronization-{66EE60AF-3880-4583-A373-B32441620486}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ch/
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
DPF: {28B66320-9687-4B13-8757-36F901887AB5} - hxxps://photoservice.fujicolor.de/ips-opdata/objects/canvasx.cab
DPF: {34DC6011-88B5-4EA9-BA7A-DC7B4F4437FE} - hxxps://photoservice.fujicolor.eu/ips-opdata/objects/jordan.cab
FF - ProfilePath - c:\documents and settings\Cut !\Application Data\Mozilla\Firefox\Profiles\sfzk4tsa.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Winamp Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\documents and settings\Cut !\Application Data\Mozilla\Firefox\Profiles\sfzk4tsa.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
.
------- Associations de fichier -------
.
.scr=AutoCADLTScriptFile
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-InstallShield_{4497AFF6-98C4-4F49-B073-F48F42BCBF9E} - c:\progra~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe
AddRemove-{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31} - c:\program files\InstallShield Installation Information\{D4C9692E-4EFA-4DA0-8B7F-9439466D9E31}\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-07 02:10
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):cf,ef,3a,95,e2,fa,5e,8b,56,6c,a5,75,22,b2,b8,0e,52,8b,21,41,51,
   22,d3,81,72,f0,6d,db,35,e9,25,a2,a7,2b,13,37,ab,8f,dc,db,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{f7f4254b-e620-45f5-92f0-95ff51b0e017}]
@Denied: (Full) (Everyone)
"Model"=dword:000000a2
"Therad"=dword:0000001e
"MData"=hex(0):2b,8f,78,29,5a,0c,ce,ec,48,d4,68,e5,9f,6a,96,3e,ab,de,c5,81,26,
   38,95,44,85,b1,12,f9,90,dd,23,a1,49,8c,bf,1a,9d,fe,41,71,cb,3f,46,a4,7c,ab,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2128)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\windows\system32\msi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\RTHDCPL.EXE
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32
vsvc32.exe
c:\windows\system32undll32.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\docume~1\CUT!~1\LOCALS~1\Temp\RtkBtMnt.exe
.
**************************************************************************
.
Heure de fin: 2010-08-07  02:15:13 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-08-07 00:15

Avant-CF: 46'983'446'528 octets libres
Après-CF: 46'959'419'392 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - 637A20C3C9C42A93EFBC497029374BB5

Cut94 · Answer

Bonjour à vous!

Mise à jour Antivir et scan effectué : encore 1 avertissement et 61 virus ou programmes indésirables ont été trouvés.

Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijZPARKHv.txt


J'ai remarqué que certains programmes ne s'ouvrent plus: Itunes, Microsoft Picture Manager, Illustrator,...
- Que dois-je faire? Je les supprime et les réinstalle?
Parce qu'en fait, lorsqu'une alerte Antivr apparaissait, je cliquais sur mettre en quarantaine, et si je comprend bien, tous les fichiers "infectés" que j'ai déplacé en quarantaine sont des minuscule partie de programme?

- Que dois-je faire maintenant, lorsque ces alertes réapparaissent?
Supprimer, mettre en quarantaine, ignorer, renommer, refuser l'accès?

- Et tous les fichiers que j'ai déplacé en quarantaine, je les supprime définitivement?

Merci encore!

archet9 · Answer

Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 

  
. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Drivers to disable: 
aec
Drivers to delete: 
aec
Files to delete: 
C:\WINDOWS\system32\drivers\aec.sys 
 


. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute

. Le pc va redémarrer

. Colle le rapport qui aparaitra.

Ensuite:

--> Purge ton système de restauration
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924


Puis :

Un nouveau scan Antivir stp

a+




a+

Cut94 · Answer

Bonsoir Archet9!

Voici le rapport Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "aec" disabled successfully.
Driver "aec" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\aec.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\aec.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.


Et voici le rapport Antivir:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijXFPevSY.txt



Je ne suis pas sur que la manip avec Avenger aie fonctionner...

Mis à part, puis-je supprimer définitivement les fichiers en quarantaine dans Antivir?

Merci pour votre aide!

archet9 · Answer

"Mis à part, puis-je supprimer définitivement les fichiers en quarantaine dans Antivir?"

oui

Le rapport Antivir est propre.
Par contre,il fayt activer ceci:

Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente

a+

archet9 · Answer

Coches juste ceci:

Rech. Rootkit au dém. de la recherche ...Pour le reste c'est bon.

Cut94 · Answer

Ok! Je n'ai plus eu de nouvelles allertes depuis! 
Ca a l'air de fonctionner à nouveau comme il faut! 

Je crois bien que vous avez sauver mon portable!!! 

UN IMMENSE MERCI A JACQUES ET ARCHET9 VOUS POUR VOTRE AIDE!!! 

Vous avez assuré!!! Meilleures salutations à vous!!!

archet9 · Answer

;)

archet9 · Answer

Salut jacques...Mes lunettes sont parfois floues aussi LoL...

Alerte avec Avira AntiVir > W32/Infector.Gen2

21 réponses

Votre réponse

Discussions similaires

Newsletters