Antivirus 2010Résolu/Fermé

Question

Bonjour à tous,

Je suis confronté depuis ce matin à un virus. Lorsque je démarre mon PC, une fenêtre noir apparait sur le bureau avec message en rouge à l'intérieur :
 "YOUR SYSTEM IS INFECTED !
Systeme has been stopped dur to a serious malfunction.
Spyware activity has been detected.
..."

Cette fenêtre ne disparait pas du bureau.

Puis une autre fenêtre s'affiche avec le message suivant : 

"Your computer is makink unauthorized copies of your system and Internet files.
You should immediately run full scan your system to prevent any unauthorized access to your data.
Click YES tu run Antivirus scaner right now".

Si click sur YES, alors un soi-disant logiciel nommé Antivirus 2010 Security Center s'ouvre et commence à scanner le disque".

Je ferme tout.

Il semblerait que cela soit un virus, impossible d'aller maintenant sur internet avec cette machine.

Pas de détection par Ad Aware, ni Malwarebytes, ni windows defender.

J'ai cherché sur Intenet mais n'ai rien trouvé comme solution. Je suis d'un niveau assez faible pour ce genre d'opérations. Il me semble qu'il faut produire des rapports Hitjacks, mais je ne sais pas comment les faire.


Je vous remercie tous à l'avance pour votre aide et vos réponses.

Cordialement

Karel7 · Answer

Bonsoir,

Les rapports Hijack, c'est pour après, il faut d'abord éliminer le rogue
Réessaye d'utiliser Malwarebytes (fait la mise à jour si possible) et cette fois, utilise rkill juste avant :

Télécharger rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

Enregistrer le fichier sur le Bureau.



Désactiver le module résident de l'antivirus et celui de l'antispyware.


Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum. 

Bonne chance
++

newgeo · Answer

Karel7,

Merci pour ta réponse.

J'ai lancé rkill, cale semble avoir fonctionné, une fenêtre noire, puis une fenêtre .txt pour dire que le programme était fini.

Je lance Malwarebytes en examen complet. Une petite heure à attendre.

Je reviens vers toi dès que possible.
Merci

newgeo · Answer

La suite ...

Voici le rapport de Malwarebyes : 

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846

21:09:50 07/09/2010
mbam-log-9-7-2010 (21-09-50).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 119172
Temps écoulé: 39 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



La fenêtre noire a disparu du bureau. Il semblerait que j'ai récupéré l'affichage normal de mon bureau en repassant par les propriétés d'affichage.

Pour le reste à savoir Antivirus 2010, je ne sais pas, je peux faire un essai en redémarrant mon PC si besoin.

J'attends tes infos.

newgeo · Answer

En complément, lorsque je lance la page d'accueil Google.fr, je me retrouve avec les options en anglais, et ne peux acceder aux options iGoogle ou Search Settings, ou Langage Tools par exemple. Alors que sur une autre machine, cela fonctionne sans problème.

A+

newgeo · Answer

En complément toujours, j'ai redémarré le PC, et c'est malheureusement toujours la même chose : même fenêtre, même message et si click sur oui, ouverture de Antivirus 2010.

A plus tard et merci de ton aide

newgeo · Answer

Je pense avoir fait une erreur en postant mes commentaires dans les réponses.

Dois-je les remettre ici ?

Karel7 · Answer

re,

réutilise Rkill comme déjà indiqué, ensuite, télécharge le package de mise à jour de MBAM (sur une autre machine si possible) et exécute le. Ceci dans le but de mettre à jour Malwarebytes, réessaye ensuite un scan complet.

Bonne chance
++

Utilisateur anonyme · Answer

Bonsoir
Voici le rapport de Malwarebyes :

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 846


Malwarebytes, pas du tout à jour
Il faut le mettre à jour avant de lancer un scan complet

newgeo · Answer

J'ai téléchargé aujourd'dui Malwarebytes, mais imopssible de faire la mise à jour directement.

J'ai téléchargé le package de mise à jour MBAM sur une autre machine, puis installé sur la machine infectée, lancé rkill, mais au lancement de Malwarebytes, j'ai l'erreur suivante : Erreur code 730 (0).

Que dois-je faire ?

Merci

Karel7 · Answer

Re,

Essaye avec OTH :

¤ Télécharge OTH depuis l'un de ces deux liens :
Lien 1
ou
Lien 2
¤ Lance le et clique sur "Kill all processes", à ce moment, tout devrait disparaître à part OTH.
¤ Clique maintenant sur "Start misc program" et lance le fichier de mise à jour de malwarebytes
¤ Après la mise à jour, utilise l'outil comme indiqué précédemment.

Bonne chance
++

newgeo · Answer

Après la mise à jour de MBAM, je clique sur Reboot ?

Merci

newgeo · Answer

J'ai continué en effectuant ceci : 
1 - Desinstallation de MBAM,
2 - re-démarrage,
3 - nettoyage avec mbam-clean.exe,
4 - re-démarrage,
5 - installation dernière version de MBAM prise sur ce site,
6 - mise à jour de MBAM,
7 - examen complet

Cela semble ok sur la machine, mais en fait, je ne sais pas s'il faut faire des investigations complémentaires.

Ci dessus, le rapport.

Merci de ton aide

Cordialement

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4564

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/09/2010 00:41:27
mbam-log-2010-09-08 (00-41-27).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 224285
Temps écoulé: 50 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Userinit (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E831B8B0-6A98-42D1-BBE2-9DAB8CC3E205}\RP161\A0027273.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E831B8B0-6A98-42D1-BBE2-9DAB8CC3E205}\RP161\A0027268.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\us?rinit.exe (Rogue.Antivirus2010) -> Quarantined and deleted successfully.

Karel7 · Answer

Re,

Excuse moi pour t'avoir laissé agir par toi même, tu as fait les bons choix, une clé du registre et un fichier correspondant à Antivirus 2010 ont étés supprimés, si tu as retrouvé ta connexion internet, essaye de faire un diagnostic :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Sinon, dit moi l'état du PC, si Antivirus 2010 a disparu, la connexion internet ...etc

++

newgeo · Answer

Bonjour,

Pas grave pour ton absence.

Lorsque je lance ZHPDiag il se bloque au milieu du rapport avec le message "Erreur d'insertion de ligne RichEdit".

Lorsque je fais OK sur le message, j'ai droit au sablier indéfiniment.

En ce qui concerne le PC, cela semble à peu près normal à part Google.fr qui ne fonctionne pas normalement. Est-ce la vraie page???

A+

Karel7 · Answer

Re,

Essaye de nettoyer le fichier Hosts :

¤  Télécharge RHosts (de S!Ri)

¤  Double clique dessus pour l'exécuter

¤  Clique sur "Restore original Hosts"  (il ne se passe rien de visible, c'est normal)

¤  Pour finir, fais redémarrer l'ordinateur.

Après ceci, Tu devrai retrouver un accès normal à Google, réessaye ensuite le diagnostic avec ZHPDiag, et n'oublie pas de mettre le rapport sur Cijoint (vu qu'il est trop long, il risque de ne pas rentrer sur le forum)

++

newgeo · Answer

Et voilà,

le rapport en pièce jointe (http://www.cijoint.fr/cjlink.php?file=cj201009/cijF8ova2Q.txt) , il semble qu'il y ait encore une ligne avec Antivirus 2010 qui semble être à l'origine de mes problèmes.

J'attends tes infos.

Karel7 · Answer

Re, 

¤ Télécharge OTM  (OtmoveIT de Old_Timer) sur ton Bureau 
¤ Double-clique sur OTM.exe pour le lancer. 
¤ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 


______________________________________________ 
:files
C:\WINDOWS\System32\drivers\cuvuxwg.sys
:commands
[purity]
[emptytemp]
______________________________________________ 

¤ Clique sur MoveIt! puis ferme OTM. 
¤ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
¤ Accepte en cliquant sur YES. 
¤ Poste le rapport situé dans C:\_OTM\MovedFiles. 
¤ Le nom du rapport correspond au moment de sa création : date_heure.log 

Ensuite : 

¤ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement. 
¤ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir 
¤ Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement 
¤ Clique sur "Recherche" 
¤ Laisse travailler l'outil 
¤ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur) 

Aide en images : Tutoriel "Recherche" 

++ 
Le meilleur d'entre nous serai surement celui qui ne dépend de personne, il serai parfait, c'est pour ca qu'il n'existe pas et qu'il n'existera jamais

newgeo · Answer

Voici le rapport OTM


All processes killed
========== FILES ==========
C:\WINDOWS\System32\drivers\cuvuxwg.sys moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: GDIRPRJ
->Temp folder emptied: 2042995 bytes
->Temporary Internet Files folder emptied: 507112053 bytes
->Java cache emptied: 20621696 bytes
->Flash cache emptied: 29832 bytes
 
User: Install
->Temp folder emptied: 34302203 bytes
->Temporary Internet Files folder emptied: 722522 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: mony.GRAHD
 
User: NetworkService
->Temp folder emptied: 5528 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: user
->Temp folder emptied: 6487523 bytes
->Temporary Internet Files folder emptied: 9091250 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133582 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 807283 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 2936 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 2448921 bytes
RecycleBin emptied: 100442104 bytes
 
Total Files Cleaned = 655.00 mb
 
 
OTM by OldTimer - Version 3.1.15.0 log created on 09082010_142451

Files moved on Reboot...
C:\Documents and Settings\GDIRPRJ\Local Settings\Temporary Internet Files\Content.IE5\JHIBUPYG\affich-19117970-antivirus-2010[1].txt moved successfully.
C:\Documents and Settings\GDIRPRJ\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

Registry entries deleted on Reboot...




Je continue avec UsbFix.

newgeo · Answer

Et voici le rapport UsbFix


############################## | UsbFix 7.023 | [Recherche]

Utilisateur: GDIRPRJ (Administrateur) # GDIRPRJ [ ]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 14:32:29 | 08/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) M processor 1600MHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Lavasoft Ad-Watch Live! Antivirus  [Enabled | Updated]
Antivirus: eTrust ITM 8.1 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 149 Go (92 Go libre(s) - 61%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [] # FAT32
F:\ -> Disque amovible # 4 Go (3 Go libre(s) - 82%) [] # FAT32

################## | Éléments infectieux |

Présent! E:\HJTInstall.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{384d58e6-3c01-11df-9551-000cf1455683}
Shell\AutoRun\Command = E:\SFR.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72e12a50-7194-11df-9568-000cf1455683}
Shell\AutoRun\Command = E:\APPInst.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ac71cde1-1712-11df-9545-000cf1455683}
Shell\AutoRun\Command = E:\Startme.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b00effb0-3caa-11df-9552-000cf1455683}
Shell\AutoRun\Command = E:\SFR.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b00effb1-3caa-11df-9552-000cf1455683}
Shell\AutoRun\Command = E:\SFR.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e67b895e-6387-11df-9565-000d6076ab7f}
Shell\AutoRun\Command = E:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{f0b7f54b-65a9-11df-9567-000cf1455683}
Shell\AutoRun\Command = E:\EmDesk.exe
Shell\EmDesk\Command = E:\EmDesk.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


Et voilà

Karel7 · Answer

Re,

Passe à la suppression avec USBfix :

¤ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
¤ Double clique sur le raccourci UsbFix sur ton Bureau
¤ Clique sur "Suppression"
¤ Laisse travailler l'outil
¤ Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
¤ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

 UsbFix te proposera d'envoyer un dossier compressé à cette adresse https://www.ionos.fr/?affiliate_id=77097 . Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Aide en images : Tutoriel "Nettoyage"

++

newgeo · Answer

Le programme plante avec messgae suivant : 
Line 10495 (Files "c:\UsbFix\UsbFix.exe")
Error Subscript used with non array variable"

J'ai fait l'essaie deux fois, et deux fois même résultat.

Merci

newgeo · Answer

S'il le faut, je suis prêt à reformater ces deux clés USB, cela ne me pose pas de problème.

Merci de ta réponse

As-tu pu avoir accès au dernier rapport de ZHPDiag que j'ai déposé comme tu l'avais demandé dans Ci-joint

A+

newgeo · Answer

Ok c'est bon avec rkill,

voici le rapport : 

############################## | UsbFix 7.023 | [Suppression]

Utilisateur: GDIRPRJ (Administrateur) # GDIRPRJ [ ]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 15:44:23 | 08/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) M processor 1600MHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Lavasoft Ad-Watch Live! Antivirus  [(!) Disabled | Updated]
Antivirus: eTrust ITM 8.1 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 149 Go (91 Go libre(s) - 61%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [] # FAT32
F:\ -> Disque amovible # 4 Go (4 Go libre(s) - 96%) [] # FAT32

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[08/09/2010 - 15:15:46 | A | 2852] 	C:\aaw7boot.log
[02/02/2010 - 21:38:58 | A | 0] 	C:\AUTOEXEC.BAT
[05/03/2010 - 11:33:22 | D ] 	C:\b3f1792dd1a8df9155cf3ed2
[07/09/2010 - 16:02:19 | SH | 212] 	C:\boot.ini
[24/04/2003 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[07/09/2010 - 19:34:42 | HD ] 	C:\Config.Msi
[02/02/2010 - 21:38:58 | A | 0] 	C:\CONFIG.SYS
[08/09/2010 - 13:47:08 | D ] 	C:\Documents and Settings
[02/02/2010 - 17:46:51 | D ] 	C:\DRIVERS
[08/09/2010 - 15:15:47 | ASH | 804245504] 	C:\hiberfil.sys
[02/02/2010 - 19:43:08 | D ] 	C:\icons
[02/02/2010 - 21:38:58 | RASH | 0] 	C:\IO.SYS
[02/02/2010 - 21:38:58 | RASH | 0] 	C:\MSDOS.SYS
[02/02/2010 - 22:48:38 | RHD ] 	C:\MSOCache
[04/08/2004 - 04:38:34 | RASH | 47564] 	C:\NTDETECT.COM
[02/02/2010 - 18:10:33 | RASH | 252240] 	C:
tldr
[08/09/2010 - 15:15:46 | ASH | 1207959552] 	C:\pagefile.sys
[08/09/2010 - 12:06:16 | RD ] 	C:\Program Files
[08/09/2010 - 15:46:10 | SHD ] 	C:\RECYCLER
[08/09/2010 - 15:43:35 | A | 395] 	C:kill.log
[02/02/2010 - 21:44:07 | SHD ] 	C:\System Volume Information
[08/09/2010 - 15:46:11 | D ] 	C:\UsbFix
[08/09/2010 - 15:46:11 | A | 902] 	C:\UsbFix.txt
[08/09/2010 - 14:25:36 | D ] 	C:\WINDOWS
[08/09/2010 - 14:24:51 | D ] 	C:\_OTM

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GDIRPRJ.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |




Rapport envoyé au site demandé.

Merci de ton aide

Karel7 · Answer

Re,

Ca a donc marché avec Rkill, utilise donc Combofix :

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

¤ Télécharge ComboFix (de sUBs) sur ton Bureau.
¤ Double-clique sur ComboFix.exe afin de le lancer.
¤ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¤ Ne touche à rien pendant le scan.
¤ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix

++

newgeo · Answer

Voilà le rapport de ComboFix : ComboFix 10-09-07.01 - GDIRPRJ 08/09/2010 16:47:54.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.416 [GMT 2:00] Lancé depuis: c:\documents and settings\GDIRPRJ\Bureau\ComboFix.exe AV: eTrust ITM *On-access scanning enabled* (Updated) {33EA71EA-56CF-40B5-A06B-BD3A27397C44} AV: Lavasoft Ad-Watch Live! Antivirus *On-access scanning disabled* (Updated) {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\.wtav c:\documents and settings\All Users\Application Data\hpe7D2.dll c:\windows\system32\scrrnfr.dll c:\windows\system32\USRINI~1.EXE . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_USERINIT ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-08 au 2010-09-08 )))))))))))))))))))))))))))))))))))) . 2010-09-08 13:46 . 2010-09-08 13:46 502433 ----a-w- C:\UsbFix_Upload_Me_GDIRPRJ.zip 2010-09-08 12:32 . 2010-09-08 13:46 -------- d-----w- C:\UsbFix 2010-09-08 12:24 . 2010-09-08 12:24 -------- d-----w- C:\_OTM 2010-09-08 10:06 . 2010-09-08 10:06 -------- d-----w- c:\program files\Trend Micro 2010-09-08 09:45 . 2010-09-08 12:48 -------- d-----w- c:\program files\ZHPDiag 2010-09-07 21:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-07 21:45 . 2010-09-07 21:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-09-07 21:45 . 2010-09-07 21:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-09-07 21:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-07 21:13 . 2010-09-07 21:13 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes 2010-09-07 20:58 . 2010-09-07 20:58 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache 2010-09-07 17:37 . 2010-05-21 12:14 221568 ------w- c:\windows\system32\MpSigStub.exe 2010-09-07 17:34 . 2010-09-07 17:34 -------- d-----w- c:\program files\Windows Defender 2010-09-07 16:39 . 2010-09-07 16:39 -------- d-----w- c:\documents and settings\GDIRPRJ\Application Data\Malwarebytes 2010-09-07 16:26 . 2010-08-12 12:15 15880 ----a-w- c:\windows\system32\lsdelete.exe 2010-09-07 13:09 . 2010-08-12 12:15 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys 2010-09-07 13:04 . 2010-09-07 13:06 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{ECC164E0-3133-4C70-A831-F08DB2940F70} 2010-09-07 12:49 . 2010-09-07 13:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft 2010-09-07 12:49 . 2010-09-07 12:49 -------- d-----w- c:\program files\Lavasoft 2010-09-07 11:34 . 2010-09-07 11:34 -------- d-----w- c:\program files\Alwil Software 2010-09-07 11:34 . 2010-09-07 11:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software 2010-09-07 11:27 . 2010-09-07 11:27 -------- d-----w- c:\documents and settings\GDIRPRJ\Application Data\GlarySoft 2010-09-07 11:25 . 2010-09-07 11:25 -------- d-----w- c:\program files\Glary Utilities 2010-09-05 11:13 . 2010-09-05 20:31 -------- d-----w- c:\documents and settings\GDIRPRJ\Local Settings\Application Data\WMTools Downloaded Files 2010-09-05 09:55 . 2008-04-13 09:46 38912 -c--a-w- c:\windows\system32\dllcache\avc.sys 2010-09-05 09:55 . 2008-04-13 09:46 38912 ----a-w- c:\windows\system32\drivers\avc.sys 2010-09-05 09:55 . 2008-04-13 09:46 48128 -c--a-w- c:\windows\system32\dllcache\61883.sys 2010-09-05 09:55 . 2008-04-13 09:46 48128 ----a-w- c:\windows\system32\drivers\61883.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-07 20:43 . 2003-04-24 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat 2010-09-07 20:43 . 2003-04-24 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat 2010-09-05 09:32 . 2010-09-05 09:32 503808 ----a-w- c:\documents and settings\GDIRPRJ\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-37f77dff-n\msvcp71.dll 2010-09-05 09:32 . 2010-09-05 09:32 499712 ----a-w- c:\documents and settings\GDIRPRJ\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-37f77dff-n\jmc.dll 2010-09-05 09:32 . 2010-09-05 09:32 348160 ----a-w- c:\documents and settings\GDIRPRJ\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-37f77dff-n\msvcr71.dll 2010-09-05 09:32 . 2010-09-05 09:32 61440 ----a-w- c:\documents and settings\GDIRPRJ\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-30e2bb60-n\decora-sse.dll 2010-09-05 09:32 . 2010-09-05 09:32 12800 ----a-w- c:\documents and settings\GDIRPRJ\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-30e2bb60-n\decora-d3d.dll 2010-09-03 23:10 . 2010-02-05 11:15 -------- d-----w- c:\documents and settings\GDIRPRJ\Application Data\Skype 2010-08-30 08:22 . 2010-02-10 09:41 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-08-12 12:16 . 2010-09-07 13:04 2979848 -c--a-w- c:\documents and settings\All Users\Application Data\{ECC164E0-3133-4C70-A831-F08DB2940F70}\Ad-AwareInstall.exe 2010-08-03 19:46 . 2010-08-03 19:46 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_netaapl_01009.Wdf 2010-08-03 19:46 . 2010-08-03 19:46 0 ---ha-w- c:\windows\system32\drivers\MsftWdf_Kernel_01009_Coinstaller_Critical.Wdf 2010-07-26 15:38 . 2010-05-04 14:49 -------- d-----w- c:\program files\iTunes 2010-07-26 15:36 . 2010-07-26 15:36 -------- d-----w- c:\program files\iPod 2010-07-26 15:36 . 2010-02-05 00:34 -------- d-----w- c:\program files\Fichiers communs\Apple 2010-07-26 15:30 . 2010-07-26 15:30 -------- d-----w- c:\program files\Bonjour 2010-07-26 15:26 . 2010-07-26 15:26 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2009-08-16 955392] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672] "dla"="c:\windows\system32\dla fswctrl.exe" [2003-10-22 114741] "ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2009-09-13 103768] "Realtime Monitor"="c:\program files\CA\eTrustITM ealmon.exe" [2007-01-17 407632] "Client Access Service"="c:\program files\IBM\Client Access\cwbsvstr.exe" [2007-03-05 20531] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-10-06 1323008] "BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2005-04-20 110592] "BMMLREF"="c:\program files\ThinkPad\Utilities\BMMLREF.EXE" [2005-04-20 20480] "BMMMONWND"="c:\progra~1\ThinkPad\UTILIT~1\BatInfEx.dll" [2005-04-20 396288] "BLOG"="c:\progra~1\ThinkPad\UTILIT~1\BatLogEx.DLL" [2005-04-20 208896] "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504] "SonicWALLNetExtender"="c:\program files\SonicWALL\SSL-VPN\NetExtender\NEGui.exe" [2009-03-25 710480] "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ Online Plug-in.lnk - c:\windows\Installer\{B8A2256E-6225-4D9E-B1C9-C26CA1E22FEB}\pnaico.exe.20FBBF0A_A7E5_4BDE_9798_9811C3D135AC.exe [2010-2-2 73728] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-06-20 02:04 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2007-05-08 15:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-07-21 13:53 141608 ----a-w- c:\program files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-17 19:53 421888 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] 2009-11-20 09:17 434176 ----a-w- c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-disabled] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ComputerAssociatesAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpfcCopy.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqgplgtupl.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqusgm.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqusgh.exe"= "c:\Program Files\HP\HP Software Update\HPWUCli.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\iTunes\iTunes.exe"= "c:\Program Files\Skype\Phone\Skype.exe"= "c:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"= "c:\WINDOWS\system32\mmc.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [07/09/2010 15:09 64288] R1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\drivers\ctxusbm.sys [09/09/2009 00:13 65584] R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [03/02/2010 02:48 16384] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [12/08/2010 14:15 1355416] R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [01/03/2010 20:19 90112] R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03/11/2006 19:19 13592] R3 SSLDrv;SSL-VPN NetExtender Adapter;c:\windows\system32\drivers\SSLDrv.sys [23/02/2009 23:55 20504] S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\program files\Lavasoft\Ad-Aware\kernexplorer.sys [12/08/2010 14:15 15008] S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers etaapl.sys [05/02/2010 02:35 18432] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [01/03/2010 19:57 86824] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [01/03/2010 19:57 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [01/03/2010 19:57 114728] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [01/03/2010 19:57 106208] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [01/03/2010 19:57 26024] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [01/03/2010 19:57 104744] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [01/03/2010 19:57 109864] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Contenu du dossier 'Tâches planifiées' 2010-09-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 12:15] 2010-02-19 c:\windows\Tasks\BMMTask.job - c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2010-02-03 05:38] 2010-09-08 c:\windows\Tasks\GlaryInitialize.job - c:\program files\Glary Utilities\initialize.exe [2010-09-07 15:10] 2010-09-08 c:\windows\Tasks\MP Scheduled Scan.job - c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Settings,ProxyServer = proxy3.grahd.com:80 uInternet Settings,ProxyOverride = 10.*;;*.local IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 DPF: {6EEFD7B1-B26C-440D-B55A-1EC677189F30} - hxxps://213.16.7.205:444/NELX.cab . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-09-08 16:58 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xF794611B]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7775f28 \Driver\ACPI -> ACPI.sys @ 0xf76c7cb8 \Driver\atapi -> atapi.sys @ 0xf7661852 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 NDIS: Intel(R) PRO/Wireless LAN 2100 3B Mini PCI Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf755abb0 PacketIndicateHandler -> NDIS.sys @ 0xf7567a21 SendHandler -> NDIS.sys @ 0xf754587b user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(932) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3940) c:\windows\system32\msi.dll c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll c:\windows\system32\eappprxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ibmpmsvc.exe c:\windows\System32\Ati2evxx.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\CA\SharedComponents\iTechnology\igateway.exe c:\program files\CA\eTrustITM\InoRpc.exe c:\program files\CA\eTrustITM\InoRT.exe c:\program files\CA\eTrustITM\InoTask.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE c:\program files\lotus otes tmulti.exe c:\program files\SonicWALL\SSL-VPN\NetExtender\NEService.exe c:\windows\system32\wbem\unsecapp.exe c:\program files\Citrix\ICA Client\ssonsvr.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\RunDll32.exe c:\windows\system32 undll32.exe c:\program files\Synaptics\SynTP\SynTPLpr.exe c:\program files\Citrix\ICA Client\WFCRUN32.EXE c:\program files\Citrix\ICA Client\PNAMAIN.EXE c:\program files\Lavasoft\Ad-Aware\AAWTray.exe . ************************************************************************** . Heure de fin: 2010-09-08 17:05:50 - La machine a redémarré ComboFix-quarantined-files.txt 2010-09-08 15:05 Avant-CF: 98 146 033 664 octets libres Après-CF: 98 029 121 536 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect - - End Of File - - A3150255287138915BBD1B74BF6F9B76 A+

newgeo · Answer

Côté PC, cela semble redevu normal, mais comme je ne sais pas exploiter tous les rapports, je te laisse faire.

J'ai cependant encore deux questions : 

1 - dans le dernier rapport ZHPDiad, il y a une ligne O64 - Services : CurCS - (.not file.) - Antivirus 2010 (userinit).....
Antivirus 2010 est à l'origine de mes problèmes. Devons nous avoir une action spéciale pour supprimer cette ligne, et plus généralement toutes celles qui ont la mention (.not file.) ?


2 - Si nous avons fini, existe-t-il une procédure pour désinstaller tous les outils que j'ai installés (rkill, OTM, OTH, UsbFix, ComboFix ,RHosts, ZHPDiag, HitJackThis,...)

Encore une fois merci de ton aide et de tes réponses.

Karel7 · Answer

Re,

1 - dans le dernier rapport ZHPDiad, il y a une ligne O64 - Services : CurCS - (.not file.) - Antivirus 2010 (userinit).....
Antivirus 2010 est à l'origine de mes problèmes. Devons nous avoir une action spéciale pour supprimer cette ligne, et plus généralement toutes celles qui ont la mention (.not file.) ?
Les lignes ayant la mention (.not file.) sont tout simplement des lignes qui ne pointent pas vers des fichiers, vu qu'il n'y a plus de fichier, la ligne est inoffensive, c'est une clé du registre orpheline, un nettoyage avec CCleaner devrait faire l'affaire, nous allons nous y consacrer, ne t'en fait pas ;-) 

2 - Si nous avons fini, existe-t-il une procédure pour désinstaller tous les outils que j'ai installés (rkill, OTM, OTH, UsbFix, ComboFix ,RHosts, ZHPDiag, HitJackThis,...) 
Des Helpers y ont déjà pensé, nous utiliserons un certain outil pour tout nettoyer à la fin ;-) 

Maintenant, retente une suppression de USBfix sans Rkill et dit moi ce qui se passe ;-) 

++

newgeo · Answer

Pas de problème pour la suppression de UsbFix.

Voici le rapport :

############################## | UsbFix 7.023 | [Suppression]

Utilisateur: GDIRPRJ (Administrateur) # GDIRPRJ [ ]
Mis à jour le 02/09/10 par El Desaparecido / C_XX
Lancé à 20:50:05 | 08/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU:  Intel(R) Pentium(R) M processor 1600MHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Lavasoft Ad-Watch Live! Antivirus  [Enabled | Updated]
Antivirus: eTrust ITM 8.1 [Enabled | Updated]
RAM -> 767 Mo 
C:\ (%systemdrive%) -> Disque fixe # 149 Go (91 Go libre(s) - 61%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 15 Go (15 Go libre(s) - 100%) [] # FAT32
F:\ -> Disque amovible # 4 Go (4 Go libre(s) - 96%) [] # FAT32

################## | Éléments infectieux |


################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[08/09/2010 - 16:57:01 | A | 3524] 	C:\aaw7boot.log
[02/02/2010 - 21:38:58 | A | 0] 	C:\AUTOEXEC.BAT
[08/09/2010 - 15:46:16 | RAD ] 	C:\Autorun.inf
[05/03/2010 - 11:33:22 | D ] 	C:\b3f1792dd1a8df9155cf3ed2
[07/09/2010 - 16:02:19 | A | 212] 	C:\Boot.bak
[08/09/2010 - 16:42:16 | RASH | 328] 	C:\boot.ini
[24/04/2003 - 14:00:00 | RASH | 4952] 	C:\Bootfont.bin
[08/09/2010 - 16:42:15 | RASHD ] 	C:\cmdcons
[03/08/2004 - 23:00:08 | RASH | 263488] 	C:\cmldr
[08/09/2010 - 17:05:50 | A | 18828] 	C:\ComboFix.txt
[07/09/2010 - 19:34:42 | D ] 	C:\Config.Msi
[02/02/2010 - 21:38:58 | A | 0] 	C:\CONFIG.SYS
[08/09/2010 - 13:47:08 | D ] 	C:\Documents and Settings
[02/02/2010 - 17:46:51 | D ] 	C:\DRIVERS
[08/09/2010 - 16:57:02 | ASH | 804245504] 	C:\hiberfil.sys
[02/02/2010 - 19:43:08 | D ] 	C:\icons
[02/02/2010 - 21:38:58 | RASH | 0] 	C:\IO.SYS
[02/02/2010 - 21:38:58 | RASH | 0] 	C:\MSDOS.SYS
[02/02/2010 - 22:48:38 | RD ] 	C:\MSOCache
[04/08/2004 - 04:38:34 | RASH | 47564] 	C:\NTDETECT.COM
[02/02/2010 - 18:10:33 | RASH | 252240] 	C:
tldr
[08/09/2010 - 16:57:01 | ASH | 1207959552] 	C:\pagefile.sys
[08/09/2010 - 12:06:16 | RD ] 	C:\Program Files
[08/09/2010 - 17:05:56 | D ] 	C:\Qoobox
[08/09/2010 - 20:53:02 | SHD ] 	C:\RECYCLER
[08/09/2010 - 15:43:35 | A | 395] 	C:kill.log
[02/02/2010 - 21:44:07 | SHD ] 	C:\System Volume Information
[08/09/2010 - 20:53:02 | D ] 	C:\UsbFix
[08/09/2010 - 20:53:03 | A | 897] 	C:\UsbFix.txt
[08/09/2010 - 15:46:16 | A | 502433] 	C:\UsbFix_Upload_Me_GDIRPRJ.zip
[08/09/2010 - 16:58:39 | D ] 	C:\WINDOWS
[08/09/2010 - 14:24:51 | D ] 	C:\_OTM

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_GDIRPRJ.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

A+

Karel7 · Answer

Parfait, maintenant : <|> Utilise MBAM pour bien tout nettoyer : ¤ Télécharge Malwarebytes Antimalware ¤¤¤> Tutoriel MBAM ¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation) ¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet" ¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" ¤ L'analyse peut durer un bon moment..... ¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" ¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" ¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée <|> Pour supprimer tout les outils : ¤ Relancer ZHPDiag et générer un rapport en appuyant sur la loupe en haut à gauche. ¤ A la fin du chargement, cliquer en haut à droite sur l'icône du bouclier vert pour lancer ZHPfix. ¤ Appuyer maintenant sur le A rouge en haut pour lancer la suppression des outils. ¤ Sélectionner tout les outils en appuyant sur "Tous" (tous les outils sont cochés par défaut) et cliquer ensuite sur "Nettoyer". ¤ Redémarrer à la demande. <|> Un petit coup de Ccleaner : Utilise ce programme pour optimiser ton ordinateur : ¤ Télécharge CCleaner Slim. ¤ Installe le puis lance le. ¤ Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche. ¤ Enfin, clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs. Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois). <|> La restauration du système a peut être été touchée, le mieux est de la purger (la désactiver et la réactiver) : ¤ Sous XP : o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés" o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs" o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés). o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système. ¤ Sous Vista/Seven : o Aller au menu démarrer et cliquer droit sur "Ordinateur" puis sélectionner "Propriétés" o Cliquer sur "Protection du système" o Décocher la case du ou des disques pour lesquels on veut désactiver la restauration du système o Cliquer sur OK et confirmer (tout les points de restauration sont supprimés). o Recocher la case des disques pour lesquels on veut réactiver la restauration du système et valider. Créer un point de restauration propre pour finir : ¤ Sous XP : o Aller au menu demarrer o Dans "Tous les programmes" o Dans "Accessoires" o Dans "outils système" o Cliquer sur "restauration du système" o Cocher "Créer un point de restauration" et cliquer sur "Suivant" o Entrer une description n'importe du point de restauration puis cliquer sur "Créer" o Le point se crée, cliquer sur fermer pour quitter la restauration du système ¤ Sous Vista : o Dans le menu démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Centre de sauvegarde et de restauration" o Puis sur le volet de gauche, cliquer sur "Créer un point de restauration ou modifier les paramètres" o L'onglet Protection du système s'ouvre, vérifier que votre disque soit bien coché, puis cliquer sur "Créer" o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur Créer o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres. ¤ Sous Seven : o Dans Démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Créer un point de restauration" o L'onglet Protection du système s'ouvre, vérifier que la protection sur votre disque soit bien activée, puis cliquer sur "Créer" o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur "Créer" o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres. <|> Pour garder un PC propre, il faut tout d'abord installer une protection, ce qui veut dire, installer un antivirus, un antispyware et un pare feu, voila quelques conseils : Antivirus payant -> Kaspersky, Antivirus gratuit -> Avira antivir / Avast Antispyware payant -> Malwarebytes Antimalware, Antispyware gratuit -> SuperAntispyware Pare feu payant -> ZoneAlarm, Pare feu gratuit -> COMODO.>>> Tuto COMODO Toute fois, on est jamais assez prudent, il faut faire attention à son comportement sur le net, les cracks les keygens la P2P sont tous à bannir. Une autre précaution à prendre, les mises à jour, celles ci sont contrairement à ce que la plupart des gens pensent très très importantes, les application les plus importantes à mettre à jour sont : Adobe Reader, Java, Flash player et les mises à jour windows, voilà un logiciel très léger et utile pour les mises à jour (éviter les bêtas) > File Hippo Update Cheker Voilà aussi quelques liens utiles Les mises à jour Windows Les mises de Adobe Reader et Java et Flash player Le danger des cracks Les toolbars Comparatif Antivirus Comparatif Antivirus Les infections USB

newgeo · Answer

Voici le rapport MBAM

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4564

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/09/2010 22:33:17
mbam-log-2010-09-08 (22-33-17).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 222842
Temps écoulé: 38 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Je continue avec ZHPDiag

newgeo · Answer

Et voilà, tout est fait selon tes conseils.

Je tiens à te remercier particulièrement pour le temps que tu as passé à traiter mon problème.

Dans ce monde où tout service n'est jamais gratuit, j'ai apprécié ton intervention.

Merci pour tes conseils et outils.

A bientôt

Antivirus 2010

31 réponses

Discussions similaires

Newsletters