avertissement Avast "Win32:Bubnix-J [Rtk]"

Question

Bonjour, 

Voila l'avertissement que vient d'afficher Avast sur mon pc : Win32:Bubnix-J [Rtk] Roofkit.
L'action recommandée "mettre en quarantaine" donne "le ficher spécifique est intouvable". J'ai essayé Supprimer mais j'ai peur de faire une bétise d'autant que j'ai l'impression que cela touche windows\system32\drivers en plusieurs points.

Merci de l'aide que vous pourrez m'apporter.


Configuration: Windows XP / Internet Explorer 7.0

archet9 · Accepted Answer

Salut,,  

"L'action recommandée "mettre en quarantaine" donne "le ficher spécifique est intouvable". J'ai essayé Supprimer mais j'ai peur de faire une bétise d'autant que j'ai l'impression que cela touche windows\system32\drivers en plusieurs points."   


Même si tu supprimes avec Avast cela ne supprimera pas le rootkit.  


---> Télécharge ComboFix.exe de sUBs sur ton Bureau :   
http://download.bleepingcomputer.com/sUBs/ComboFix.exe   

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\   

---> Double-clique sur Combofix.exe  

---> Installe la console de récupération si l'outil te le propose.    

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\   

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.   

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu   

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\   

Note : Le rapport se trouve également là : C:\ComboFix.txt

nani · Answer

Merci archet9,

je vais suivre scrupuleusement tes conseils (j'ai effectué le téléchargement) mais avant de continuer j'ai besoin de précisons :

- quand tu dis "/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ "  : ok je ferme toutes les fenêtres ouvertes, mais ça veut bien dire aussi de désactiver l'antivirus ?

- et pour l'antispyware, et bien il me semble que je n'en ai pas, à tort j'ai l'impression,

- et pour finir la fenêtre d'avertissement Avast est impossible à fermer, d'ailleurs je dois la décaler complèment pour pouvoir lire la fenêtre IE

archet9 · Answer

" mais ça veut bien dire aussi de désactiver l'antivirus ? "

Oui.....

Pour cela fais un clc droit sur le "A" de avast en bas à droite de ton écran, ds la barre de taches (près de l'heure) et choisis "arrêter la protection résidente"

Et ensuite lances Combofix.....

nani · Answer

Merci, en fait c'est ce que j'avais fait. Et désolée pour le délai de réponse.

Voici donc le rapport Combofix :


ComboFix 10-08-24.0C - Propriétaire 26/08/2010  10:12:32.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.156 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100825-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\fjhdyfhsn.bat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-26 au 2010-08-26  ))))))))))))))))))))))))))))))))))))
.

2010-08-25 22:55 . 2010-08-25 22:55	585504	----a-w-	c:\windows\system32\drivers\eaglent.sys
2010-08-25 22:54 . 2008-04-13 18:40	8192	-c--a-w-	c:\windows\system32\dllcache\changer.sys
2010-08-25 22:54 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-08-25 21:07 . 2008-04-13 18:46	17024	-c--a-w-	c:\windows\system32\dllcache\ccdecode.sys
2010-08-25 20:52 . 2004-08-05 12:00	59904	-c--a-w-	c:\windows\system32\dllcache\atmarpc.sys
2010-08-25 20:52 . 2004-08-05 12:00	14336	-c--a-w-	c:\windows\system32\dllcache\asyncmac.sys
2010-08-25 20:52 . 2004-08-05 12:00	14336	----a-w-	c:\windows\system32\drivers\asyncmac.sys
2010-08-25 20:47 . 2008-04-13 16:39	142592	-c--a-w-	c:\windows\system32\dllcache\aec.sys
2010-08-13 10:01 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-08-08 13:23 . 2010-08-08 13:48	--------	d-----w-	c:\program files\Soccer98
2010-08-02 09:09 . 2010-08-02 09:09	--------	d-----w-	c:\program files\Disney Interactive
2010-07-31 23:05 . 2009-03-03 08:01	65536	----a-w-	c:\windows\system32\Autodial2000.dll
2010-07-31 23:04 . 2009-02-03 14:08	34688	----a-w-	c:\windows\system32\pcampr5.sys
2010-07-31 23:04 . 2010-08-10 14:30	--------	d-----w-	c:\program files\OrangeHSS
2010-07-31 23:01 . 2010-07-31 23:01	--------	d-----w-	c:\program files\Fichiers communs\France Telecom
2010-07-31 22:56 . 2009-02-03 14:05	89088	------w-	c:\windows\system32\atl71.dll
2010-07-31 20:23 . 2010-07-31 20:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\CyberLink
2010-07-31 07:54 . 2010-07-31 07:54	--------	d-----w-	c:\program files\Belkin
2010-07-31 07:53 . 2010-07-31 07:53	--------	d-----w-	c:\windows\{113016FE-E013-4FAF-85FB-8649DEED76B2}

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-25 22:55 . 2010-08-25 22:56	585504	----a-w-	c:\windows\system32\drivers\OLDC6.tmp
2010-08-25 22:54 . 2010-08-25 22:54	585504	----a-w-	c:\windows\system32\drivers\Changer.sys.bak
2010-08-25 20:46 . 2010-08-25 20:44	20	----a-w-	c:\windows\system32\config\systemprofile\Application Data\jglzyr.dat
2010-08-13 13:20 . 2006-03-02 12:00	93648	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-13 13:20 . 2006-03-02 12:00	533246	----a-w-	c:\windows\system32\perfh00C.dat
2010-08-10 21:29 . 2010-06-13 10:28	--------	d-----w-	c:\program files\ma-config.com
2010-08-10 21:29 . 2010-06-13 10:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-08-02 09:11 . 2008-04-25 08:39	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-07-31 23:07 . 2008-04-26 13:36	--------	d-----w-	c:\program files\Securitoo
2010-07-31 07:23 . 2008-04-26 13:48	--------	d-----w-	c:\program files\Wanadoo
2010-07-31 07:20 . 2010-06-12 13:34	--------	d-----w-	c:\program files\DofusArena
2010-06-30 12:32 . 2006-03-02 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2006-03-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-03-02 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-03-02 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2006-03-02 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 14:31 . 2008-04-24 17:03	744448	----a-w-	c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-14 07:42 . 2006-03-02 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2009-11-17 17:38 . 2009-10-29 22:45	47104	----a-w-	c:\program files\mozilla firefox\components\FFComm.dll
2009-07-04 10:33 . 2009-07-04 10:29	80	--sh--r-	c:\windows\system32\31AEF817E3.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OSDOverLayIcon]
@="{8129812F-4AF8-4A47-85A5-D995B505880C}"
[HKEY_CLASSES_ROOT\CLSID\{8129812F-4AF8-4A47-85A5-D995B505880C}]
2009-04-16 14:32	53248	----a-w-	c:\program files\mes données\OSDExtension.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-15 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"C-Media Mixer"="Mixer.exe" [2003-03-20 1855488]
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CAMTRAY.EXE" [2003-06-26 184320]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2009-03-03 107248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Propri'taire\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Propri'taire\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-14 135680]
updqnc32.exe [2008-4-14 24064]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Metin2_France\metin2.bin"=
"c:\Program Files\Pando Networks\Media Booster\PMB.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Metin2_France\metin2client.bin"=
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57363:TCP"= 57363:TCP:Pando Media Booster
"57363:UDP"= 57363:UDP:Pando Media Booster

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/12/2009 02:49 114768]
R1 CbFs;CbFs;c:\windows\system32\drivers\cbfs32.sys [24/07/2009 22:25 137384]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/12/2009 02:49 20560]
R3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\drivers\RTL8192su.sys [06/01/2010 17:21 594048]
S3 P1130VID;Creative WebCam NX Pro;c:\windows\system32\drivers\P1130Vid.sys [23/05/2008 09:59 90229]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-08-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-08-26 c:\windows\Tasks\User_Feed_Synchronization-{1B733058-06EB-47B9-BCEF-114C2325514E}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.orange.fr
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\52otm7wy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pPandoWebInst.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins
pqtplugin8.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
HKCU-RunOnce-Shockwave Updater - c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150600.exe
AddRemove-Adibou et l'Ombre Verte V.1.00 on C - c:\coktel\Adibou et l'Ombre Verte\Uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-26 12:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2000478354-2052111302-1644491937-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
Heure de fin: 2010-08-26  12:27:51
ComboFix-quarantined-files.txt  2010-08-26 10:27

Avant-CF: 77 108 477 952 octets libres
Après-CF: 77 335 330 816 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - DFF18E6A624953B75DF7F9B56EE961DD

archet9 · Answer

Impec...

Fais un scan avec cet antispyware : 
Malwarebytes + tutoriel 
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.  

a+

nani · Answer

Voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4486

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/08/2010 08:45:51
mbam-log-2010-08-27 (08-45-51).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133078
Temps écoulé: 1 heure(s), 39 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\Changer.sys.bak (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\eaglent.sys (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Drivers\OLDC6.tmp (Rootkit.Bubnix) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


Merci archet9 pour ton aide précieuse et ta patience, et quand je vois tout ce qui est demandé par les "naufragés de l'informatique" j'imagine qu'il en faut ! C'est difficile de savoir si on fait doublon avec d'autres demandes malgré les lectures des sujets postés.
En tout cas "chapeau bas !", j'envie ton savoir et celui de tes "collègues". Je suis preneuse de tous les autres conseils (!) que tu jugeras utilile de me transmettre.

archet9 · Answer

Télécharge The Avenger par Swandog46 sur ton Bureau:  

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  

Click sur Avenger.zip pour ouvrir le fichier  
Extraire avenger.exe sur votre bureau  

   
. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):  


<gras>Drivers to disable:  
Changer  
eaglent 
OLDC6 

Drivers to delete:  
Changer 
eaglent 
OLDC6 

 


. Colle ce texte (Ctrl+V) dans le cadre :Input script here  

. Appuie sur Execute 

. Le pc va redémarrer 

. Colle le rapport qui aparaitra. 


a+

nani · Answer

Voilà enfin le rapport :

Par contre j'ai remarqué qu'entre le moment où j'ai imprimé ton message (le 27/08 et aujourd'hui où je copie le texte en gras, quelques lignes ont disparu de ton message (à partir de "Files to delete...", c'est normal ?

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "Changer" disabled successfully.

Error:  could not open driver "eaglent"
Disablement of driver "eaglent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "OLDC6"
Disablement of driver "OLDC6" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "Changer" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\eaglent" not found!
Deletion of driver "eaglent" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\OLDC6" not found!
Deletion of driver "OLDC6" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

a+

archet9 · Answer

Par contre j'ai remarqué qu'entre le moment où j'ai imprimé ton message (le 27/08 et aujourd'hui où je copie le texte en gras, quelques lignes ont disparu de ton message (à partir de "Files to delete...", c'est normal ?  

Oui c'est moi qui à modifié, n'en tient pas compte! 

==> Que dit avast maintenant ?

Télécharge ZHPDiag ( de? Nicolas coolman ).  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html  

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )  

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )  

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.  

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.  

Rend toi sur Cjoint :? http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

archet9 · Answer

Non continue stp....

nani · Answer

Voici la réponse d'Avast !

"Un virus a été trouvé !
Nom : Win32-Malware-gen
Type : Virus/Ver..."

"Un logiciel malveillant a été trouvé !
Nom du fichier : c:\windows\system32\drivers\ip6fw.sys
Nom du logiciel malveillant : Win32:Bubnix-J [Rtk]
Type : Rootkit..."

Puis un autre :
c:\windows\system32\drivers\lgusbbus.sys
Win32:Bubnix-J [Rtk]

Et encore :
c:\windows\system32\drivers\lgusbdiag.sys
Win32:Bubnix-J [Rtk]

c:\windows\system32\drivers\lgusbmodem.sys
Win32:Bubnix-J [Rtk]

c:\windows\system32\drivers\p1130vid.sys
Win32:Bubnix-J [Rtk]

c:\windows\system32\drivers\secdrv.sys

c:\windows\system32\drivers\wudfpf.sys

c:\windows\system32\drivers\wudfrd.sys

c:\windows\system32\pcampr5.sys

c:\windows\system32\pcandis5.sys


Avast me signale "qu'il est dangeureux de travailler sur l'ordi quand un virus est actif, il est recommandé de redémarrer avant que le virus ne soit actif. Planifier un scan au démarrage et redémarrer ?"

Je continue ?

nani · Answer

Voici le lien demandé :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijDK4Z5L9.txt

archet9 · Answer

relancelance The Avenger en cliquant sur son icône du bureau. 
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 


Drivers to disable: 
lgusbbus 
ip6fw
lgusbdiag
lgusbmodem
p1130vid
secdrv
wudfpf
wudfrd
pcampr5
pcandis5

Drivers to delete: 
lgusbbus 
ip6fw
lgusbdiag
lgusbmodem
p1130vid
secdrv
wudfpf
wudfrd
pcampr5
pcandis5



. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute 

. Le pc va redémarrer 

. Colle le rapport qui aparaitra.

nani · Answer

Voici le rapport :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open driver "lgusbbus"
Disablement of driver "lgusbbus" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "ip6fw"
Disablement of driver "ip6fw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "lgusbdiag"
Disablement of driver "lgusbdiag" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "lgusbmodem"
Disablement of driver "lgusbmodem" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "p1130vid"
Disablement of driver "p1130vid" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "secdrv" disabled successfully.

Error:  could not open driver "wudfpf"
Disablement of driver "wudfpf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "wudfrd"
Disablement of driver "wudfrd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "pcampr5"
Disablement of driver "pcampr5" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  could not open driver "pcandis5"
Disablement of driver "pcandis5" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lgusbbus" not found!
Deletion of driver "lgusbbus" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ip6fw" not found!
Deletion of driver "ip6fw" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lgusbdiag" not found!
Deletion of driver "lgusbdiag" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\lgusbmodem" not found!
Deletion of driver "lgusbmodem" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\p1130vid" not found!
Deletion of driver "p1130vid" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "secdrv" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\wudfpf" not found!
Deletion of driver "wudfpf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\wudfrd" not found!
Deletion of driver "wudfrd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\pcampr5" not found!
Deletion of driver "pcampr5" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\pcandis5" not found!
Deletion of driver "pcandis5" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.

Bertrand -44 · Answer

J'ai le même virus que vous (Bubnix-J). Est-ce que les actions effectuées ont enfin permis de l'éradiquer ? Est ce que l'ordi fonctionne à nouveau correctement ? J'ai lancé plusieurs anti-virus et antimalware mais je ne parviens pas à le supprimer.

archet9 · Answer

@Bertrand -44 ==> Il serait préférable que tu crées ton propre sujet... 

@nani : Rien n'est parti....

Disposes tu de points de restauration disponibles sur ton pc ?
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

a+

nani · Answer

J'ai vérifié et apparemment je dispose de plusieurs "points de vérification système" à différentes dates, entre autre avant et après la date de réinstallation de ma connexion internet suite à un déménagement (et changement de formule). 

Faut-il donc prendre la date la plus ancienne possible, si oui quelles conséquences sur ma connexion ? Faudra-t-il la reparamètrer ?

A+

archet9 · Answer

"entre autre avant et après la date de réinstallation de ma connexion internet suite à un déménagement" 

Peux tu me donner la date approximative de cette réinstallation?

nani · Answer

Je pense que c'était vers le 10- 11 août.

archet9 · Answer

Choisis donc un point de restauration juste après cette réinstallation...
==> Lance la restauration....
Ensuite ,lance un scan Antivir.

nani · Answer

"Ensuite ,lance un scan Antivir" 


Antivir ? 

Un scan avec Avast c'est pareil ?

archet9 · Answer

oui...AVAST §

nani · Answer

le scan est en cours et déjà j'ai des alertes Avast :

C\Win32:Bubak
C\win32:Bubnix-J
C\systeme volume informations\restore...

j'ai restauré à la date du 14/08,  j'imagine qu'il faut ré-essayer avec un point de restauration antérieur et refaire un scan après chaque : il me reste le 13/08 et puis le 10/08 date à laquelle il me semble que j'ai réinstallé ma connexion internet.

nani · Answer

Malheureusement je n'arrive pas à trouver de point de restauration qui ne soit pas infecté. En tout cas juste après la réinstallation de la connexion internet.

Dois-je continuer à "remonter" la calendrier des points de restauration+scan ou bien la seule solution est-elle "tout simplement" une réinitialisation de windows XP ???

archet9 · Answer

J'ai besoin d'un nouveau scan scan  Combofix ... stp 
Et ensuite  on tentera un nouveau script pour éradiquer cete M--de

nani · Answer

voici le nouveau scan Combofix :

ComboFix 10-09-08.03 - Propriétaire 09/09/2010  22:53:13.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.280 [GMT 2:00]
Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100909-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Propriétaire\Application Data\.#
c:\windows\system32\scrrnfr.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-09 au 2010-09-09  ))))))))))))))))))))))))))))))))))))
.

2010-08-26 22:40 . 2010-08-26 22:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-01 14:12 . 2010-09-01 14:08	--------	d-----w-	c:\program files\ZHPDiag
2010-08-30 20:51 . 2010-08-25 20:44	24	----a-w-	c:\windows\system32\config\systemprofile\Application Data\jglzyr.dat
2010-08-30 20:49 . 2010-08-30 20:49	12	----a-w-	c:\documents and settings\LocalService\Application Data\jglzyr.dat
2010-08-26 22:40 . 2010-08-26 22:40	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-13 13:20 . 2006-03-02 12:00	93648	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-13 13:20 . 2006-03-02 12:00	533246	----a-w-	c:\windows\system32\perfh00C.dat
2010-08-10 21:29 . 2010-06-13 10:28	--------	d-----w-	c:\program files\ma-config.com
2010-08-10 21:29 . 2010-06-13 10:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-08-10 14:30 . 2010-07-31 23:04	--------	d-----w-	c:\program files\OrangeHSS
2010-08-08 13:48 . 2010-08-08 13:23	--------	d-----w-	c:\program files\Soccer98
2010-08-02 09:11 . 2008-04-25 08:39	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-08-02 09:09 . 2010-08-02 09:09	--------	d-----w-	c:\program files\Disney Interactive
2010-07-31 23:07 . 2008-04-26 13:36	--------	d-----w-	c:\program files\Securitoo
2010-07-31 23:01 . 2010-07-31 23:01	--------	d-----w-	c:\program files\Fichiers communs\France Telecom
2010-07-31 20:23 . 2010-07-31 20:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\CyberLink
2010-07-31 07:54 . 2010-07-31 07:54	--------	d-----w-	c:\program files\Belkin
2010-07-31 07:23 . 2008-04-26 13:48	--------	d-----w-	c:\program files\Wanadoo
2010-07-31 07:20 . 2010-06-12 13:34	--------	d-----w-	c:\program files\DofusArena
2010-06-30 12:32 . 2006-03-02 12:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2006-03-02 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2006-03-02 12:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2006-03-02 12:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2006-03-02 12:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 07:42 . 2006-03-02 12:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2009-11-17 17:38 . 2009-10-29 22:45	47104	----a-w-	c:\program files\mozilla firefox\components\FFComm.dll
2009-07-04 10:33 . 2009-07-04 10:29	80	--sh--r-	c:\windows\system32\31AEF817E3.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OSDOverLayIcon]
@="{8129812F-4AF8-4A47-85A5-D995B505880C}"
[HKEY_CLASSES_ROOT\CLSID\{8129812F-4AF8-4A47-85A5-D995B505880C}]
2009-04-16 14:32	53248	----a-w-	c:\program files\mes données\OSDExtension.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [BU]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-15 68856]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150600.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"C-Media Mixer"="Mixer.exe" [2003-03-20 1855488]
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CAMTRAY.EXE" [2003-06-26 184320]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2009-03-03 107248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Propri'taire\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Propri'taire\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-14 135680]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Metin2_France\metin2.bin"=
"c:\Program Files\Pando Networks\Media Booster\PMB.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Metin2_France\metin2client.bin"=
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57363:TCP"= 57363:TCP:Pando Media Booster
"57363:UDP"= 57363:UDP:Pando Media Booster

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/12/2009 02:49 114768]
R1 CbFs;CbFs;c:\windows\system32\drivers\cbfs32.sys [24/07/2009 22:25 137384]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/12/2009 02:49 20560]
R3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\drivers\RTL8192su.sys [06/01/2010 17:21 594048]
S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]
S3 P1130VID;Creative WebCam NX Pro;c:\windows\system32\DRIVERS\P1130Vid.sys --> c:\windows\system32\DRIVERS\P1130Vid.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper
.
Contenu du dossier 'Tâches planifiées'

2010-09-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-09-09 c:\windows\Tasks\User_Feed_Synchronization-{1B733058-06EB-47B9-BCEF-114C2325514E}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.orange.fr
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\52otm7wy.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-09 23:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2000478354-2052111302-1644491937-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2760)
c:\program files\mes données\OSDExtension.dll
c:\program files\Creative\Shared Files\CTHook.dll
c:\program files\Windows Desktop Search\deskbar.dll
c:\program files\Windows Desktop Search\fr-fr\dbres.dll.mui
c:\program files\Windows Desktop Search\dbres.dll
c:\program files\Windows Desktop Search\wordwheel.dll
c:\program files\Windows Desktop Search\fr-fr\msnlExtRes.dll.mui
c:\program files\Windows Desktop Search\msnlExtRes.dll
c:\program files\OrangeHSS\Launcher\Inactivity.Dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\SearchIndexer.exe
c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\Mixer.exe
c:\windows\system32\wscntfy.exe
c:\documents and settings\Propriétaire\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
c:\program files\OrangeHSS\Launcher\Launcher.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\OrangeHSS\systray\systrayapp.exe
c:\program files\OrangeHSS\connectivity\connectivitymanager.exe
c:\program files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
c:\program files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
c:\windows\system32\SearchProtocolHost.exe
c:\windows\system32\SearchFilterHost.exe
.
**************************************************************************
.
Heure de fin: 2010-09-09  23:35:30 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-09 21:35
ComboFix2.txt  2010-08-26 10:28

Avant-CF: 77 695 471 616 octets libres
Après-CF: 77 665 202 176 octets libres

- - End Of File - - 7428FE29894723BD81490F5781A8F68F


a+

archet9 · Answer

Que dit AVAST mainennt?

nani · Answer

Voici le résultat d'Avast :

C:\System Volume Information\...\A0088173.sys    Infection : Win32.Bubnix-J
C:\System Volume Information\...\A0088174.bat    Infection : VBS/Malware-gen
C:\WINDOWS\Installer\3ab65be.msp                    Impossible de scanner : Erreur de donnée...

Les deux 1er sont mis en quarantaine et pour le dernier il y a erreur lors du déplacement vers la zone de quarantaine.

Quelle action dois-je faire ?

archet9 · Answer

Pour les deux premières détections,pas de soucis,Avast les a détecté
dans ton système de restauration,donc c'est inactif ! On purgera cela à la fin...

Pour C:\WINDOWS\Installer\3ab65be.msp 


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\WINDOWS\Installer\3ab65be.msp 


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

Si tu ne trouves pas le fichier alors 

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

nani · Answer

Bon malgré 2 tentatives, je n'arrive pas au bout du processus :

j'ai trouvé le bon fichier je clique sur Send File.

La fenêtre "Sending file" annonce le chargement en cours mais à 80-90% Internet Explorer affiche "IE ne peut afficher cette page Web".

J'insiste ?

archet9 · Answer

Oui insiste stp...
Cependant il est possible que "VT" ne connaisse pas cette application, compte tenu du fait que Google (d'après mes recherches) ne la connait pas non plus...

archet9 · Answer

Ps:
Peux-tu vérifier ceci stp:

==> Dis moi si un  proxy est activé,et si oui désactive.

Lancez Internet explorer 
Allez dans le menu Outils d'Internet Explorer 
Cliquez sur Options Internet, puis sur l'onglet Connexions, puis sur Paramètres réseau. 
Cochez : ne pas activer de Serveur proxy... 

Sous Firefox : 

Lancez Firefox 
Allez dans Outils 
Puis Options 
Activez l'onglet Réseau 
Cliquez sur Paramètres 
Et choisissez l'option: Pas de proxy 
Cliquez sur Ok

nani · Answer

Bon, avec Internet Explorer pas de proxy activé et toujours le même résultat :ça plante à env 80-90%

J'ai donc essayé avec Firefox, et à 93 % une fenêtre s'ouvre :

"Modules complémentaires pouvant causer des problèmes
Firefox a déterminé que les modules complémentaires suivants sont connus pour causer des problèmes de stabilité ou de sécurité:

Java Deployment Toolkit 6.0.150.3"
la case "Désactiver" est cochée

"Pour votre protection, il est fortement recommandé de désactiver ces modules complémentaires et de redémarrer"

Je fais quoi ?

archet9 · Answer

Ok, on voit le bout...

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

 * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).  
* Décoche la case plus vieux que 24 h 

 Puis:


Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 

http://www.vista-xp.fr/forum/topic2490.html Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 

Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application.

nani · Answer

Alors pour CCleaner, j'arrive au bout du processus. Par contre j'ai pas bien saisi le dernier point :

"* Décoche la case plus vieux que 24 h"

Dans Options puis Avancé je RE-coche ?

archet9 · Answer

"* Décoche la case plus vieux que 24 h"

nani · Answer

JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sat Sep 11 23:29:00 2010

Found and removed: C:\Documents and Settings\Propriétaire\Application Data\Sun\Java\jre1.6.0_13

Found and removed: C:\Documents and Settings\Propriétaire\Application Data\Sun\Java\jre1.6.0_15

Found and removed: C:\WINDOWS\system32\plugincpl131_18.cpl

Found and removed: SOFTWARE\Classes\JavaSoft.JavaBeansBridge

Found and removed: SOFTWARE\Classes\JavaSoft.JavaBeansBridge.1

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\javaw.Exe

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\JavaSoft\Java2D\1.6.0_07

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{68249B78-B714-11D7-88E8-0050DA21757E}

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.3.1_18

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.3.1_18

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.

archet9 · Answer

Peux-tu me faire un ZHPdiag maintenant?

nani · Answer

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijz7zgnq3.txt

archet9 · Answer

Ok,

Voyons maintenan ce que donne un scan en ligne:
https://www.eset.com/

nani · Answer

Résultat de l'analyse :

Aucune menace détectée

archet9 · Answer

Purge ta restauration:
---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger : 
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Que dit AVaST aprés cela?

nani · Answer

Réponse d'Avast :

C:\WINDOWS\Installer\3ab65be.msp
Impossible à scanner : lecture impossible sur le périphérique spécifié

archet9 · Answer

Désinstalle AVAST, tu as la version 4 (nulle et obsolète) avec cet utilitare: 
https://www.avast.com/fr-fr/uninstall-utility 

Réinstalle AVAST 5 (bien meilleur) 
http://www.commentcamarche.net/download/telecharger-151-avast 

==> Lance un scan et donne le résultat stp

nani · Answer

Bon, j'ai fait un scan rapide, résultat Avast 5 :
Aucun virus détecté

Vaut-il mieux faire un scan minutieux ?

archet9 · Answer

Vaut-il mieux faire un scan minutieux ?

Oui et on sera fixé...

nani · Answer

C'est bon aussi pour le scan minutieux :
Aucun virus détecté

archet9 · Answer

Impec....

pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode 

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe 

choisis l'option 2

nani · Answer

Ok c'est fait. As-tu besoin du rapport ?

archet9 · Answer

Non....Sauf s'il te reste des outils que nous avons installé toujours présents sur le  pc.... ???  

As-tu d'autres soucis ?   

Sinon autrement: C'est fini !!!

nani · Answer

En fait, je retiens de ton aide qu'il me faut conserver et utiliser CCleaner (je connaissais mais faute de savoir l'utiliser je ne le faisais pas), Malwarebytes (idem). C'est pas évident de savoir ce qui est essentiel !
Je veille également à ce que les utilisateurs de ce PC soient vigilants dans leurs usages.

Je vais continuer à lire les conseils sur la sécurité (sur certains forums c'est parfois même effrayant ce qu'on risque en surfant !). D'autant que je compte renouveler mon matériel et que je souhaite bien commencer avec : donc si tu connais un tuto (si ça existe ?) sur la bonne marche à suivre avec un nouveau matériel : sauvegarde initiale d'un système d'exploitation, outils utiles, et aussi les appli inutiles qui sont pré-installées, je suis preneuse.

Et pis c'est décidé, je me suis inscrite à un cours d'informatique pour progresser encore et encore !!!

En tout cas je te remercie sincèrement de ton aide, j'espère un jour pouvoir en faire autant pour autrui.

archet9 · Answer

En faiit, j'aimrearais que  tu te souviennes d'un seul truc, suite à ce passge sur CCM:

Le top des antivirus à venir s'apellle "nani 2010/2011"....

nani · Answer

:)

archet9 · Answer

;-)

Avertissement Avast "Win32:Bubnix-J [Rtk]"

54 réponses

Votre réponse

Discussions similaires

Newsletters