Sujet Précédent Sujet Suivant

Att Karel7: Méga problèmes de virus !

Résolu/Fermé
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014 - Modifié par ladymix le 18/10/2010 à 13:34
 Utilisateur anonyme - 18 nov. 2010 à 20:20
Bonjour,



Je reviens sur ce forum car depuis quelques jours, j'ai d'énormes problèmes de virus ! Malgré les scan d'Antivir et les "restauration système" quotidiennes, le probléme est récurent et de + en + virulent !

Voici les rapports récents de mon antivirus:

1er rapport:

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 16 septembre 2010 18:17

La recherche porte sur 2849557 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SMOKY

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 24/11/2009 22:17:43
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 22:17:42
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 22:17:42
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:58:20
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:59:37
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:19:01
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 21:29:42
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 15:35:57
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 22:22:12
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 15:46:58
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 15:46:58
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 15:46:58
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 15:46:58
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 15:46:58
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 15:46:59
VBASE014.VDF : 7.10.11.166 2048 Bytes 15/09/2010 15:46:59
VBASE015.VDF : 7.10.11.167 2048 Bytes 15/09/2010 15:46:59
VBASE016.VDF : 7.10.11.168 2048 Bytes 15/09/2010 15:46:59
VBASE017.VDF : 7.10.11.169 2048 Bytes 15/09/2010 15:46:59
VBASE018.VDF : 7.10.11.170 2048 Bytes 15/09/2010 15:46:59
VBASE019.VDF : 7.10.11.171 2048 Bytes 15/09/2010 15:47:00
VBASE020.VDF : 7.10.11.172 2048 Bytes 15/09/2010 15:47:00
VBASE021.VDF : 7.10.11.173 2048 Bytes 15/09/2010 15:47:00
VBASE022.VDF : 7.10.11.174 2048 Bytes 15/09/2010 15:47:00
VBASE023.VDF : 7.10.11.175 2048 Bytes 15/09/2010 15:47:00
VBASE024.VDF : 7.10.11.176 2048 Bytes 15/09/2010 15:47:00
VBASE025.VDF : 7.10.11.177 2048 Bytes 15/09/2010 15:47:00
VBASE026.VDF : 7.10.11.178 2048 Bytes 15/09/2010 15:47:01
VBASE027.VDF : 7.10.11.179 2048 Bytes 15/09/2010 15:47:01
VBASE028.VDF : 7.10.11.180 2048 Bytes 15/09/2010 15:47:01
VBASE029.VDF : 7.10.11.181 2048 Bytes 15/09/2010 15:47:01
VBASE030.VDF : 7.10.11.182 2048 Bytes 15/09/2010 15:47:01
VBASE031.VDF : 7.10.11.195 86016 Bytes 16/09/2010 15:47:01
Version du moteur : 8.2.4.52
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 22:01:14
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 06/09/2010 04:58:14
AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 21:26:21
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 21:25:37
AERDL.DLL : 8.1.8.2 614772 Bytes 20/07/2010 21:15:17
AEPACK.DLL : 8.2.3.5 471412 Bytes 07/08/2010 16:27:30
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22/07/2010 15:23:47
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 06/09/2010 04:58:13
AEHELP.DLL : 8.1.13.3 242038 Bytes 06/09/2010 04:58:10
AEGEN.DLL : 8.1.3.21 401780 Bytes 16/09/2010 15:47:03
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 21:25:36
AECORE.DLL : 8.1.16.2 192887 Bytes 20/07/2010 21:15:10
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 21:25:35
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 24/11/2009 22:17:43
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 16:48:38
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 24/11/2009 22:17:40
RCTEXT.DLL : 9.0.73.0 88321 Bytes 24/11/2009 22:17:40

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : jeudi 16 septembre 2010 18:17

La recherche d'objets cachés commence.
'83489' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mpbtn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lanceur.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svcnost.exe' - '1' module(s) sont contrôlés
Module infecté -> 'C:\Documents and Settings\Laeti\Application Data\download2\svcnost.exe'
Processus de recherche 'realplay.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Bandoo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'USBDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'antispy.exe' - '1' module(s) sont contrôlés
Module infecté -> 'C:\Documents and Settings\Laeti\Application Data\antispy.exe'
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pg_ctl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'svcnost.exe' est arrêté
Le processus 'antispy.exe' est arrêté
C:\Documents and Settings\Laeti\Application Data\download2\svcnost.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.65546
[REMARQUE] Fichier supprimé.
C:\Documents and Settings\Laeti\Application Data\antispy.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.lel.3
[REMARQUE] Fichier supprimé.

'51' processus ont été contrôlés avec '49' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '66' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Laeti\Local Settings\temp\4352010.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.lel.3
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153071.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.65546
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153072.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.lel.3
C:\WINDOWS\Temp\Acr10C.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
C:\WINDOWS\Temp\Acr1A.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
C:\WINDOWS\Temp\Acr31.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
C:\WINDOWS\Temp\JMEd.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2

Début de la désinfection :
C:\Documents and Settings\Laeti\Local Settings\temp\4352010.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.lel.3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc756fa.qua' !
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153071.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.65546
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc356f8.qua' !
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1246\A0153072.exe
[RESULTAT] Contient le cheval de Troie TR/FakeAV.lel.3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d62aa71.qua' !
C:\WINDOWS\Temp\Acr10C.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d04572b.qua' !
C:\WINDOWS\Temp\Acr1A.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9bbbd4.qua' !
C:\WINDOWS\Temp\Acr31.tmp
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Pidief.15344
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca4a3ec.qua' !
C:\WINDOWS\Temp\JMEd.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cd75715.qua' !


Fin de la recherche : jeudi 16 septembre 2010 19:41
Temps nécessaire: 1:22:17 Heure(s)

La recherche a été effectuée intégralement

17320 Les répertoires ont été contrôlés
545110 Des fichiers ont été contrôlés
11 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
2 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
7 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
545097 Fichiers non infectés
8758 Les archives ont été contrôlées
2 Avertissements
11 Consignes
83489 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés





2eme rapport:

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 25 septembre 2010 14:01

La recherche porte sur 2874959 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : SMOKY

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 24/11/2009 22:17:43
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 22:17:42
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 22:17:42
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 16:58:20
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:59:37
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 17:19:01
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 21:29:42
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 15:35:57
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 22:22:12
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 15:46:58
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 15:46:58
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 15:46:58
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 15:46:58
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 15:46:58
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 15:46:59
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 16:06:45
VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 04:22:14
VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 15:39:49
VBASE017.VDF : 7.10.12.5 2048 Bytes 23/09/2010 15:39:50
VBASE018.VDF : 7.10.12.6 2048 Bytes 23/09/2010 15:39:50
VBASE019.VDF : 7.10.12.7 2048 Bytes 23/09/2010 15:39:50
VBASE020.VDF : 7.10.12.8 2048 Bytes 23/09/2010 15:39:50
VBASE021.VDF : 7.10.12.9 2048 Bytes 23/09/2010 15:39:50
VBASE022.VDF : 7.10.12.10 2048 Bytes 23/09/2010 15:39:50
VBASE023.VDF : 7.10.12.11 2048 Bytes 23/09/2010 15:39:50
VBASE024.VDF : 7.10.12.12 2048 Bytes 23/09/2010 15:39:50
VBASE025.VDF : 7.10.12.13 2048 Bytes 23/09/2010 15:39:50
VBASE026.VDF : 7.10.12.14 2048 Bytes 23/09/2010 15:39:50
VBASE027.VDF : 7.10.12.15 2048 Bytes 23/09/2010 15:39:50
VBASE028.VDF : 7.10.12.16 2048 Bytes 23/09/2010 15:39:50
VBASE029.VDF : 7.10.12.17 2048 Bytes 23/09/2010 15:39:51
VBASE030.VDF : 7.10.12.18 2048 Bytes 23/09/2010 15:39:51
VBASE031.VDF : 7.10.12.30 73728 Bytes 24/09/2010 16:28:02
Version du moteur : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 22:01:14
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 16:13:01
AESCN.DLL : 8.1.6.1 127347 Bytes 12/05/2010 21:26:21
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 21:25:37
AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 04:22:16
AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 16:12:22
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22/07/2010 15:23:47
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 24/09/2010 16:28:06
AEHELP.DLL : 8.1.13.4 242038 Bytes 24/09/2010 16:28:03
AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 16:11:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 21:25:36
AECORE.DLL : 8.1.17.0 196982 Bytes 24/09/2010 16:28:02
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 21:25:35
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 24/11/2009 22:17:43
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 16:48:38
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 24/11/2009 22:17:40
RCTEXT.DLL : 9.0.73.0 88321 Bytes 24/11/2009 22:17:40

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : samedi 25 septembre 2010 14:01

La recherche d'objets cachés commence.
'83621' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mpbtn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lanceur.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLI.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hotfix.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Bandoo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'USBDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'postgres.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pg_ctl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOLacsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'44' processus ont été contrôlés avec '44' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '66' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\$NtUninstallKB913800$\wmplayer.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3
[AVERTISSEMENT] 'Contient le cheval de Troie TR/Crypt.XPACK.Gen3'. Le résultat concerne très probablement un message d'erreur. Veuillez nous renvoyer immédiatement ce fichier pour une analyse plus détaillée.


Fin de la recherche : samedi 25 septembre 2010 15:22
Temps nécessaire: 1:20:21 Heure(s)

La recherche a été effectuée intégralement

17352 Les répertoires ont été contrôlés
545581 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
545578 Fichiers non infectés
8749 Les archives ont été contrôlées
3 Avertissements
2 Consignes
83621 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés




Et voici un rapport du logiciel Security Tool (logiciel survenu à notre inu. ca parait louche)

Trojan winhlp32.exe Trojan.Win32.KillFiles.lm This Trojan has a malicious payload. It is a Windows PE EXE file. The file is 368 128 bytes in size. áàéò. It is not packed in any way. It is written in Borland Delphi.
Spyware comrereg.exe Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords. It is a Windows PE EXE file. It is 70,144 bytes in size. Installation When launched, the Trojan copies its executable file to the Windows system directory: %System%\robber1.exe The Trojan also adds a link to its executable file in the system...
Adware dialer.exe Virus.DOS.Guevara.1918 It is a very dangerous memory resident parasitic virus. It hooks INT 21h and writes itself to the end of .COM and .EXE files that are executed. On 10th, 20th and 30th of any month the virus erases the hard drive sectors, displays an image of Che Guevara and the text: TE GUSTA ESTAR BLOQUEADO A...
Spyware helpsvc.exe Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords. It is a Windows PE EXE file. It is 70,144 bytes in size. Installation When launched, the Trojan copies its executable file to the Windows system directory: %System%\robber1.exe The Trojan also adds a link to its executable file in the system...
Malware localsec.dll Virus.DOS.Shifter.983 This virus infects .OBJ files prepared to be compiled to COM files. The virus inserts itself into OBJ files so, that after linking to COM executable file the result contains the virus at the beginning of the file. When that file is executed, the virus receives the control, hooks INT 21h and...
Trojan msinfo.dll Trojan.JS.Offiz Simple Trojan programs written in the JS (JSript) language that reside in HTM-files. These trojan scripts open many Internet Explorer windows that once open can''t be closed. If a user presses the Alt+F4, Ctrl or Del keys a message box is displayed with the text: "You are an idiot!".
Dialer msvcrt.dll Exploit.HTML.Ascii.d This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page. It is 2431 bytes in size. It is not packed in any way.
Worm odbcji32.dll Net-Worm.Win32.Witty This fileless worm, also known as BlackIce and Blackworm, infects computers which use the following vulnerable ISS products: RealSecure Network 7.0, XPU 22.11 and before RealSecure Server Sensor 7.0 XPU 22.11 and before RealSecure Server Sensor 6.5 for Windows SR 3.10 and before Proventia A...
Rogue rsh.exe Virus.DOS.Euskara.811 It is not a dangerous nonmemory resident parasitic virus. It searches for COM files, then writes itself to the end of the file. The virus leaves in the HMA the memory resident program that hooks INT 9 (keyboard) and depending on the keys that are pressed either manifests itself with some video...
Worm srchctls.dll Net-Worm.Perl.Santy.a This worm uses a vulnerability in phpBB, which is used to create forums and web sites, to spread via the Internet. phpBB versions lower than 2.0.11 are vulnerable. The worm is written in Perl, and is 4966 bytes in size. Propagation The worm creates a specially formulated Google search request....
Spyware w32time.dll Trojan-PSW.Win32.LdPinch.byc This Trojan is designed to steal user passwords. It is a Windows PE EXE file. The file is 43 377 bytes in size. It is written in Assembler.
Malware olecnv32.dll Virus.DOS.PM.733 It is a harmless memory resident stealth parasitic virus. It hooks INT 21h and writes itself to the end of .COM files that are executed or closed. When an infected file is opened, the virus disinfects it. The virus contains the ID-strings: PM
Worm wmp.dll Worm.Win32.Agent.i This malicious program is a worm. It is a Windows PE EXE file. It is 71 168 bytes in size. It is packed using UPX. The unpacked file is approximately 240KB in size. Installation When launched, the worm creates the following folder: %System%\ace When launched, the worm extracts the following file...
Rogue dhcpcsvc.dll Virus.DOS.Mabuhay.2660.b This is a very dangerous virus. It hooks INT 21h and writes itself to the end of COM and EXE files that are executed (except COMMAND.COM). It looks like modifications of the "Jerusalem" virus. On June, 12th it displays the national flag of Philippines, the text message, erases the disk sectors and...
Dialer ehepg.dll Exploit.HTML.Ascii.j This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page. It is 1046 bytes in size. It is not packed in any way.
Spyware oleaut32.dll Trojan-PSW.Win32.Small.ae This Trojan program is designed to steal user passwords. It is a Windows PE EXE file. It is 10240 bytes in size. Installation The Trojan copies its executable file to the Windows system directory: %System%\winsys.dll In order to ensure that the Trojan is launched automatically each time the...
Adware msjetol1.dll Virus.DOS.Squatter.9742 This is a dangerous memory resident parasitic highly polymorphic and stealth virus. It hooks INT 21h and writes itself to the end of COM and EXE files that are accessed. Depending on their counters the virus also infects the "C:\DOS\KEYB.COM" file, if it exists. The virus does not infect the...
Dialer kerberos.dll Exploit.HTML.Ascii.d This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page. It is 2431 bytes in size. It is not packed in any way.
Worm avifil32.dll Net-Worm.Win32.Witty This fileless worm, also known as BlackIce and Blackworm, infects computers which use the following vulnerable ISS products: RealSecure Network 7.0, XPU 22.11 and before RealSecure Server Sensor 7.0 XPU 22.11 and before RealSecure Server Sensor 6.5 for Windows SR 3.10 and before Proventia A...
Adware acxtrnal.dll Virus.DOS.Am.743 This is a harmless memory-resident parasitic virus. It hooks INT 21h and writes itself at the end of COM files that are executed. It contains the text "am", the same value is returned (in ASCII) by the virus when it checks the previously loaded TSR copy. On calling the GetDate DOS function the...
Rogue extmgr.dll Virus.DOS.TempVir.466 It is a harmless nonmemory resident parasitic virus. It searches for COM files only in C:\TEMP\ directory, then writes itself to the end of the file. The virus does not manifest itself in any way, it contains the text string: C:\TEMP\*.COM
Spyware url.dll Trojan-PSW.Win32.Lmir.gen This family of Trojans steals passwords to the online game Legend of Mir. As a rule, programs belonging to this family are written in high-level programming languages such as Delphi, Visual C/C++, Visual Basic). File sizes vary, and the programs utilize a range of methods to install themselves to...
Trojan ati2evxx(7)(3)(2).dll Trojan.Win32.KillAV.gj This Trojan is a Windows PE EXE file 61440 bytes in size. Once launched, the Trojan causes the following message to be displayed: It then creates a file called Update.bat in the C: root directory: C:\Update.bat The Trojan terminates any processes it finds with the names listed below:...
Spyware bthci.dll Trojan-PSW.Win32.Lmir.gen This family of Trojans steals passwords to the online game Legend of Mir. As a rule, programs belonging to this family are written in high-level programming languages such as Delphi, Visual C/C++, Visual Basic). File sizes vary, and the programs utilize a range of methods to install themselves to...
Trojan dcomcnfg.exe Trojan.BAT.Adduser.t This Trojan has a malicious payload. It is a BAT file. It is 1129 bytes in size.
Backdoor dsdmoprp.dll Backdoor.Win32.RA-based This is a typical client-server remote administration utility that allows connection to remote computer(s) in order to manage its (their) system resources in real time (similar to "pcAnywhere" by Symantec). This utility has a "Remote-Anything" name, and it is developed and distributed by the TWD...
Rogue esentprf.dll Virus.DOS.Spartak_II.2000 It is not a dangerous nonmemory resident polymorphic companion virus. It searches for .COM and .EXE files, then renames .COM files to .CCC and .EXE files to .EEE, then writes itself instead of host file. After infection the virus creates in the current directory the SPARTAK.BAT file and writes to...
Spyware inetppui.dll Trojan-PSW.Win32.Coced.219 This Trojan steals user passwords. It is designed to steal a range of confidential information. It is a Windows PE EXE file. It is 11,269 bytes in size. It is written in Visual C++. Installation Once launched, the virus copies its executable file to the Windows system directory:...
Spyware kbdkor.dll Trojan-PSW.Win32.QQRob.10 This Trojan is designed to steal user passwords. It is a Windows PE EXE file. It is 70,144 bytes in size. Installation When launched, the Trojan copies its executable file to the Windows system directory: %System%\robber1.exe The Trojan also adds a link to its executable file in the system...
Malware logonui.exe Virus.DOS.Crasher.659 This is a very dangerous memory resident parasitic virus. It hooks INT 21h and writes itself to the beginning of COM files that are opened. The virus contains the string: (C) CRASHER X On December 20th it erases C: drive sectors and displays the message: Dear users ! Hapy new year ! * / / /_ *...
Spyware modex.dll Trojan-PSW.Win32.Coced This Trojan is one of a family of Trojans which steals user passwords. It is designed to steal confidential data. It is a Windows PE EXE file. The file is 9,728 bytes in size. It is written in Visual C++.
Worm msvcr70.dll Net-Worm.Win32.CodeRed.a CodeRed (aka Code Red, Bady) is an Internet worm that replicates between Windows 2000 servers running Microsoft''s IIS (Internet Information Services) and the Microsoft Index Server 2.0 or the Windows 2000 Indexing Service. It does this by exploiting a bug known as "Unchecked Buffer in the Index...
Worm nv4_disp.dll Worm.Win32.Fujack.a This worm spreads on the hard disk of the victim machine and to write-accessible network resources. It is a Windows PE EXE file. Modifications of this program may vary in size from 26KB to 129KB. The program may be packed with a range of packers. Installation When launched, the worm copies its...
Rogue proquota.exe Virus.DOS.Mono.1063 It is a very dangerous memory resident parasitic virus. IT hooks INT 21h and infects COM files that are executed, and deletes the files that are opened. It infects the memory like "Cascade" virus, but contains several errors. It installs, infects and deletes the files only upon monochrome monitor...
Trojan rsopprov.exe Trojan.VBS.KillOS.a This Trojan has a malicious payload. It is 343 bytes in size, and written in Visual Basic Script.
Adware schannel.dll Virus.DOS.VLAD.Systa.231 It is a harmless non memory-resident parasitic virus. It searches for SYS files, then writes itself to the end of the file. The virus contains the text strings: SySta by Qark/VLAD *.sys
Dialer ssmarque.scr Exploit.HTML.Ascii.f This exploit uses a vulnerability in Internet Explorer (CVE-2006-3227) to run on the victim machine. It is an HTML page. It is 1614 bytes in size. It is not packed in any way.
Spyware winmine.exe Trojan-PSW.Win32.LdPinch.ur This Trojan is designed to steal user passwords. It is a Windows PE EXE file. The size of the infected file may vary between 21KB to 86KB. It is packed using FSG.
Rogue wpdmtpus.dll Virus.DOS.Glew.4245 This is a very dangerous memory resident parasitic polymorphic virus. It hooks INT 21h and writes itself to the end of EXE files that are executed, opened or closed. The virus does not infect several anti-virus programs (TBAV, FVIRU,0, F-PROT, AVP, e.t.c.) and COMMAND.COM according to the string: TB...




Voila ! Merci pour votre aide ! Je ne sais plus quoi faire et je post ces infos avant qu'internet soit bloqué par ces sales virus :(

Ciao

67 réponses

Réponse 1 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
24 oct. 2010 à 14:30
Salut Ladymix,

Nous nous sommes mis d'accord vu ton cas, utilise OTLPE :

Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.

¤ Télécharge OTLPENet sur ton bureau.
¤ Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.
¤ Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur Oui.
¤ Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.

Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici.
¤ Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE
¤ Double clique sur OTLPE
¤ Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur YES.
¤ Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur YES.
¤ Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur OK.

¤ OTL Va se lancer. Clique sur Run Scan pour démarrer l'analyse.

¤ Quand c'est terminé, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.

¤ Copies le fichier sur une clé usb si tu n'as pas accès à Internet.
¤ Poste le contenu du rapport OTL.txt dans ta prochaine réponse.

Bonne chance @+
1
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
24 oct. 2010 à 17:34
Bonjour Karel7,

Si je comprends bien, je dois graver OTLPENet sur un CD via un autre pc et après insérer ce CD dans mon pc infecté ? Qu'est ce que ce logiciel va faire sur le pc ? Pense tu que le disque dur soit endommagé et qu'une partie des mes fichiers soit perdue ?

Une fois les manipulations effectuées, est ce que je vais pouvoir redémarrer mon pc et avoir accès à mon bureau pour récupérer le rapport ?

Merci :)
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
24 oct. 2010 à 17:41
en principe, c'est une technique pour faire un diagnostic puis réparer avec un script sans pouvoir démarrer.
Je vient de te demander de faire un diagnostic
Tu n'aura donc pas accès à ton PC quand tu le fera mais plutard
Il faut effectivement graver sur un autre PC et insérer dans celui qui est infecté ;-)
Bonne chance ;)
0
okidor Messages postés 180 Date d'inscription lundi 29 septembre 2008 Statut Membre Dernière intervention 22 juin 2015 12
24 oct. 2010 à 18:20
salut,

j'ai eu le même problème pour installer ad-remove,j'ai finalement réussi en le téléchargeant a partir de ce post:

https://forums.commentcamarche.net/forum/affich-17487912-aide-ntvdm

voila bon courage pour la suite ;)
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
24 oct. 2010 à 18:31
Ok donc il va falloir que je trouve un pc avec graveur car en ce moment je me sers d'un Eee pc Asus (sous linux) pour pouvoir communiquer avec toi. Je ne peux donc rien faire d'autre à partir de ce dernier.

Je vais essayer de graver le logiciel sur CD au taf ou chez des amis.

Je croise les doigts pour que ca fonctionne et que je puisse réutiliser mon pc.

Merci pour ton aide en tout cas ;) je te tiens au courant au + vite.

PS: bonjour Okidor, merci pour le lien. Je le consulterais si besoin ;)

A+
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
27 oct. 2010 à 17:34
N'a tu pas trouvé moyen d'envoyer le rapport ou est ce que ca n'a pas marché ?
0
Réponse 2 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
26 sept. 2010 à 14:56
Salut,

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤ Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

et un diagnostic stp :

¤ Télécharge ZHPDiag (de Nicolas Coolman).
¤ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
¤ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
¤ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
¤ Rend toi sur Cijoint et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
¤ Un lien se ra généré, copie colle le dans ta prochaine réponse.

Bonne chance
@+
0
Réponse 3 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 18:35
Bonjour Karel7 :) Merci pour votre réactivité et votre aide !

Voici le rapport Malwarebyte:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3385
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/09/2010 18:14:51
mbam-log-2010-09-26 (18-14-51).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 321560
Temps écoulé: 1 hour(s), 38 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winusr (Adware.Gibmedia) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Winsudate (Adware.Gibmedia) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\Local.dtd (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\Ui.dtd (Malware.Trace) -> Quarantined and deleted successfully.




Par contre je n'arrive pas à accéder à déposer le rapport ZHPDiag sur le site cijoint...y a-t-il un autre moyen de vous transmettre le rapport en dehors d'un copier/coller ?

Merci ;o)
0
Réponse 4 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
26 sept. 2010 à 19:01
Re,

Pour Cijoint, essaye d'utiliser Cjoint (oui oui, grande ressemblance dans le nom :) ), c'est à peut près la même procédure, tu clique sur "parcourir...", indique le fichier puis clique sur "Créer le lien Cjoint", ne te restera plus que copier coller le lien :-)

Bonne chance
@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 19:14
ca ne fonctionne pas non plus :( j'arrive sur une page internet "La connexion avec le serveur a été réinitialisée pendant le chargement de la page."
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
26 sept. 2010 à 19:18
essaye avec https://www.terafiles.net/ , sinon vérifie si tu n'as pas des coupures de connexions, si ca persiste, signal le moi ;-)
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 19:38
la progression du téléchargement se bloque à 39,96% :( je n'y comprend rien ! ma connexion internet fonctionne sans interruptions pourtant
0
Réponse 6 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
26 sept. 2010 à 19:58
Re,

Essaye de procéder comme suit :

Télécharger rkill depuis l'un des liens ci-dessous:

https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

Enregistrer le fichier sur le Bureau.



Désactiver le module résident de l'antivirus et celui de l'antispyware.


Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

puis heberge le fichier, sinon , divise le en deux parties et envoi le en deux messages.

Bonne chance
@+
0
Réponse 7 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 20:03
voici ce que j'ai récupéré:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Laeti on 26/09/2010 at 20:02:18.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\Laeti\Mes documents\Téléchargements\rkill.exe


Rkill completed on 26/09/2010 at 20:02:30.
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
26 sept. 2010 à 20:06
vraiment rien, poste le fichier en deux temps ;-)
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 20:28
j'ai lancé les 3 application de rkill et je n'ai que le mini rapport:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Laeti on 26/09/2010 at 20:25:43.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\Laeti\Mes documents\Téléchargements\rkill.scr


Rkill completed on 26/09/2010 at 20:25:54.
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
26 sept. 2010 à 20:34
j'ai désactivé l'antivirus + le pare feu et ca ne change rien !

y a t il un autre moyen ?
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
27 sept. 2010 à 13:23
divise le rapport en deux parties et poste la premiere, valide, ensuite dans un NOUVEAU message, poste la deuxième
0
Réponse 8 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
27 sept. 2010 à 14:44
Bonjour,

Bon vu qu'aucune manipulation ne fonctionnait sur mon pc. J'ai fait le nécessaire au boulot :o)

Voici le lien pour voir le rapport ZHPDiag:

https://www.cjoint.com/?jBoQkdjWTp

Cdlt
0
Réponse 9 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
27 sept. 2010 à 17:30
Re,

Maintenant, nous pourrons nous battre >:-)

Utilise Ad Remover :

¤ Télécharge AD-Remover (de C_XX) sur ton Bureau.
/!\ Déconnecte toi et ferme toutes les applications en cours /!\
¤ Double-clique sur l'icône AD-Remover
¤ Au menu principal, clique sur "Nettoyer"
¤ Confirme le lancement de l'analyse et laisse l'outil travailler
¤ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Et réutilise MBAM :

¤ Télécharge Malwarebytes Antimalware
¤¤¤> Tutoriel MBAM
¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"
¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
¤ L'analyse peut durer un bon moment.....
¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

¤¤¤ Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Bonne chance
@+
0
Réponse 10 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
27 sept. 2010 à 19:39
Bonsoir :) Déclarons la guerre à ce virus :oD

Voici le rapport AD-Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:21:36 le 27/09/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Laeti@SMOKY ( )

============== ACTION(S) ==============

Service: "winsvc" Stoppé et supprimé

0,Fichier supprimé: C:\log_lobby.txt
0,Fichier supprimé: C:\log_lobby_dumper.txt
0,Fichier supprimé: C:\Documents and Settings\Dj Talion\Application Data\Mozilla\FireFox\Profiles\aspfdiso.default\searchplugins\dealiocom.xml
0,Dossier supprimé: C:\Documents and Settings\Laeti\Application Data\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Bandoo
0,Dossier supprimé: C:\Program Files\Bandoo
0,Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
0,Dossier supprimé: C:\Program Files\Viewpoint
0,Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Everest Poker.fr.lnk

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Laeti\Application Data\Mozilla\FireFox\Profiles\zo73f7dk.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Web Search");
Ligne supprimée: user_pref("browser.search.order.1", "Web Search");
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
3,Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
3,Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{6A87B991-A31F-4130-AE72-6D0C294BF082}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
3,Clé supprimée: HKLM\Software\Classes\AppID\{9C123289-82E1-4da7-A3C2-B8D28AAD114B}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
3,Clé supprimée: HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
1,Clé supprimée: HKLM\Software\Classes\Interface\{03C390E8-B836-4B82-8D56-1BFDDC06AE8A}
1,Clé supprimée: HKLM\Software\Classes\Interface\{2C4470A2-E099-4B9E-ABFE-BBA56D046AFD}
1,Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
1,Clé supprimée: HKLM\Software\Classes\Interface\{391769AE-D8EC-45EC-967D-F5120456E514}
1,Clé supprimée: HKLM\Software\Classes\Interface\{39AEF150-C270-4690-AE7D-955E51BC8960}
1,Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
1,Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CD73B1AB-3403-4E47-B196-517C57BE76A2}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3AD7A5B6-610D-4A82-979E-0AED20920690}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
0,Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
0,Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
0,Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
0,Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin
0,Clé supprimée: HKLM\Software\Classes\BandooIEPlugin.BandooIEPlugin.1
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl
0,Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl.1
0,Clé supprimée: HKLM\Software\Classes\Dealio.CDealioSidebar
0,Clé supprimée: HKLM\Software\Classes\Dealio.CDealioSidebar.1
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
0,Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
0,Clé supprimée: HKLM\Software\bandoo
0,Clé supprimée: HKLM\Software\MetaStream
0,Clé supprimée: HKLM\Software\Titan Poker
0,Clé supprimée: HKLM\Software\Viewpoint
0,Clé supprimée: HKLM\Software\Winsudate
0,Clé supprimée: HKCU\Software\Dealio
0,Clé supprimée: HKCU\Software\Grand Virtual
0,Clé supprimée: HKCU\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Winsudate
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Dealio
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\1FE1E83F6DBB3474FA4820E1620B84C1
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\1FE1E83F6DBB3474FA4820E1620B84C1
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA74C8}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
0,Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Documents and Settings\Laeti\Application Data\Mozilla\FireFox\Profiles\zo73f7dk.default\Prefs.js --
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Google
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.10
keyword.URL, hxxp://www.wibeez.com/meteo?search&q=

-- C:\Documents and Settings\Dj Talion\Application Data\Mozilla\FireFox\Profiles\aspfdiso.default\Prefs.js --
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Yahoo
browser.startup.homepage_override.mstone, rv:1.9.2.10
keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=vmn&type=vendio&p=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 273 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/09/2010 (9567 Octet(s))

Fin à: 19:27:47, 27/09/2010

============== E.O.F ==============
0
Réponse 11 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
27 sept. 2010 à 21:34
Et voici le rapport de Malwarebyte ! Pour info, lors du scan 4 virus ont été détecté par antivir et une fenêtre d'erreur s'est ouverte avec ce titre:"Generic Host Process Win 32 Services"

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4704

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27/09/2010 21:31:40
mbam-log-2010-09-27 (21-31-40).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 337063
Temps écoulé: 1 heure(s), 44 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uvc7jk640c (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\idln2 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\download (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Laeti\Local Settings\Temporary Internet Files\Content.IE5\33YUWIGV\sjaipk[1].htm (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Laeti\Local Settings\Temporary Internet Files\Content.IE5\O0R10E22\update[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\Laeti\Mes documents\Téléchargements\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1252\A0153504.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1253\A0153586.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1254\A0153674.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1255\A0153741.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1256\A0153810.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1257\A0153877.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1258\A0153997.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0C10A635-D078-4D7E-8FD6-C4D0E007B3ED}\RP1258\A0153998.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
28 sept. 2010 à 15:57
Petit up ! Bonjour Karel7 :) Que racontent ces 2 rapports ?

A+
0
Réponse 12 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
28 sept. 2010 à 22:24
Salut,

Excuse moi pour le delais,

La restauration du systeme a étée touchée, vide là :

¤ Sous XP :
o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés"
o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs"
o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés).
o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système.

Et crée un point de restauration saint :

¤ Sous XP :
o Aller au menu demarrer
o Dans "Tous les programmes"
o Dans "Accessoires"
o Dans "outils système"
o Cliquer sur "restauration du système"
o Cocher "Créer un point de restauration" et cliquer sur "Suivant"
o Entrer une description n'importe du point de restauration puis cliquer sur "Créer"
o Le point se crée, cliquer sur fermer pour quitter la restauration du système

Ensuite, utilise Combofix :

/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.


/!\ Désactive tous tes logiciels de protection /!\

¤ Télécharge ComboFix (de sUBs) sur ton Bureau.
¤ Double-clique sur ComboFix.exe afin de le lancer.
¤ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¤ Ne touche à rien pendant le scan.
¤ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix

Bonne chance @+
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
Modifié par ladymix le 29/09/2010 à 12:14
Bonjour,

Je vais faire les manipulations ce soir car je suis au boulot !

Lorsque tu dis "désactive tous tes logiciels de protections" pour Combofix, ca veut dire désactiver mon antivirus + pare feu + spybot ? Est ce qu'il peut y avoir un autre programme concerné ?

Merci ;o)
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
29 sept. 2010 à 14:21
non, ceux sont tout les programmes que tu doit désactiver (sans oublier de les réactiver après les manips)
0
Réponse 13 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
Modifié par ladymix le 30/09/2010 à 10:39
Bonsoir Karel7 :o)

Après avoir supprimé tous les points de restauration, j'ai créé un nouveau point de restauration comme indiqué.

Concernant Combofix:

Après avoir désactivé Spybot, le pare feu et Antivir + déconnexion d'internet, j'ai lancé le programme. Il m'a demandé d'installer la console de récupération et une connexion internet fut nécessaire. Je me suis donc reconnectée au net et l'installation s'est poursuivie...

A un moment, Combofix a détecté un rootkit et a du redémarrer le pc ! Au redémarrage, Antivir s'est réactivé tout seul :(
Il a détecté un virus: Cheval de Troie/Rootkit.Gen3 ! Je l'ai mis en quarantaine et le scan Combofix a repris ! J'avais pourtant désactivé l'antivirus (le petit parapluie était bien fermé)

Au bout de quelques minutes, il a terminé toutes les étapes su scan et m'a transmis le rapport que voici:

ComboFix 10-09-29.01 - Laeti 29/09/2010 23:08:01.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.959.563 [GMT 2:00]
Lancé depuis: c:\documents and settings\Laeti\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Macromedia\SwUpdate
c:\documents and settings\All Users\Application Data\Macromedia\SwUpdate\Flags.dtd
c:\documents and settings\Laeti\Application Data\download2

Une copie infectée de c:\windows\system32\drivers\dmio.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-29 ))))))))))))))))))))))))))))))))))))
.

2010-09-27 17:35 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-27 17:35 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-27 17:35 . 2010-09-27 17:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-27 17:33 . 2010-09-27 17:33 -------- d-----w- c:\documents and settings\Laeti\Application Data\Bandoo
2010-09-27 17:21 . 2010-09-27 17:26 -------- d-----w- c:\program files\Ad-Remover
2010-09-26 16:25 . 2010-09-26 16:27 -------- d-----w- c:\program files\ZHPDiag
2010-09-26 11:08 . 2010-09-26 11:08 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-25 16:10 . 2010-09-26 11:07 -------- d-----w- c:\documents and settings\Dj Talion\Local Settings\Application Data\Google
2010-09-25 16:09 . 2010-09-25 16:09 -------- d-----w- c:\documents and settings\Dj Talion\Local Settings\Application Data\ATI
2010-09-25 16:00 . 2010-09-25 16:00 -------- d-----w- c:\documents and settings\Dj Talion\IETldCache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-29 21:10 . 2006-09-14 05:25 77024 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-29 21:10 . 2006-09-14 05:25 471890 ----a-w- c:\windows\system32\perfh00C.dat
2010-09-26 16:41 . 2010-07-04 12:28 -------- d-----w- c:\program files\Everest Poker.fr
2010-09-25 16:09 . 2008-08-29 07:07 42152 -c--a-w- c:\documents and settings\Dj Talion\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-05 13:10 . 2007-02-03 17:44 42152 -c--a-w- c:\documents and settings\Laeti\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-05 13:02 . 2010-08-21 09:33 -------- d-----w- c:\program files\VirtualDJ
2010-09-05 12:59 . 2009-12-21 01:14 -------- d-----w- c:\program files\ma-config.com
2010-09-05 12:59 . 2010-01-09 13:07 -------- d-----w- c:\documents and settings\LocalService\Application Data\ATI
2010-09-05 12:59 . 2009-12-21 18:55 -------- d-----w- c:\documents and settings\Laeti\Application Data\ATI
2010-09-05 12:59 . 2006-09-29 17:13 -------- d-----w- c:\program files\ATI Technologies
2010-08-16 07:25 . 2010-08-16 07:25 -------- d-----w- c:\program files\Micro Application
2010-08-13 20:12 . 2010-08-13 20:12 0 ----a-w- c:\windows\ativpsrm.bin
2010-08-13 20:02 . 2006-09-29 17:13 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-13 19:48 . 2009-12-21 01:14 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
2010-07-23 15:22 . 2010-08-02 09:25 1496064 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-07-23 15:22 . 2010-08-02 09:25 43008 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-07-23 15:22 . 2010-08-02 09:25 338944 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-07-23 15:22 . 2010-08-02 09:25 346112 ----a-w- c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-09-29 26112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Dj Talion\Menu D'marrer\Programmes\D'marrage\
Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-7-19 5484544]

c:\documents and settings\Laeti\Menu D'marrer\Programmes\D'marrage\
Club Internet.lnk - c:\program files\Club-Internet\Lanceur\lanceur.exe [2007-7-19 5484544]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
LE COMPAGNON CLUB.lnk - c:\program files\Club-Internet\Le Compagnon Club\bin\matcli.exe [2007-9-2 217088]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
"c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
"c:\\Program Files\\AOL 9.0\\waol.exe"=
"c:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\Station2.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"c:\\Program Files\\Hercules\\Hercules DualPix HD Webcam\\ControlUI.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN\\MSNCoreFiles\\Install\\msnsusii.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Documents and Settings\\Laeti\\temp\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6346:TCP"= 6346:TCP:shareaza
"6346:UDP"= 6346:UDP:shareaza
"14135:UDP"= 14135:UDP:Server Application
"14135:TCP"= 14135:TCP:Server Application
"13621:UDP"= 13621:UDP:MFP Setup Wizard
"13878:UDP"= 13878:UDP:MFP Manager
"13364:UDP"= 13364:UDP:MFP Server Manager
"69:UDP"= 69:UDP:MFP Server Manager TFTP
"25346:TCP"= 25346:TCP:spport
"22869:TCP"= 22869:TCP:spport
"9965:TCP"= 9965:TCP:spport
"8326:TCP"= 8326:TCP:spport
"29381:TCP"= 29381:TCP:spport
"11584:TCP"= 11584:TCP:spport
"23154:TCP"= 23154:TCP:spport
"13439:TCP"= 13439:TCP:spport

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/11/2009 21:48 108289]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [19/09/2008 03:03 65536]
R3 APL531;Hercules Dualpix HD Webcam;c:\windows\system32\drivers\HDvid.sys [20/11/2007 01:05 275072]
R3 camfilt;camfilt;c:\windows\system32\drivers\camfilt.sys [20/11/2007 01:05 24192]
R3 WUSBVBus;MFP Server Detector;c:\windows\system32\drivers\mfpvbus.sys [20/12/2008 20:23 10240]
S0 cekzzlvbdhtkvl;cekzzlvbdhtkvl;c:\windows\system32\drivers\gocimxpxld.sys --> c:\windows\system32\drivers\gocimxpxld.sys [?]
S0 khqlmxop;khqlmxop;c:\windows\system32\drivers\oopuhnpkpjv.sys --> c:\windows\system32\drivers\oopuhnpkpjv.sys [?]
S0 xapiosqilhq;xapiosqilhq;c:\windows\system32\drivers\xhrfi.sys --> c:\windows\system32\drivers\xhrfi.sys [?]
S2 ALIWEHCD;MFP Server Enhanced Controller;c:\windows\system32\drivers\mfpec.sys [20/12/2008 20:23 34944]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/07/2010 14:59 243056]
.
Contenu du dossier 'Tâches planifiées'

2010-08-24 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.wibeez.com/meteo?search&q=
FF - component: c:\documents and settings\Laeti\Application Data\Mozilla\Firefox\Profiles\zo73f7dk.default\extensions\firefox@bandoo.com\components\FFPlugin.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-29 23:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(524)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-09-29 23:18:18
ComboFix-quarantined-files.txt 2010-09-29 21:18

Avant-CF: 129 638 727 680 octets libres
Après-CF: 129 755 766 784 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

- - End Of File - - BD94F8C87D6FE975B8BAE4F5ECABE401
0
Réponse 14 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
30 sept. 2010 à 13:28
Salut,

ok, il y a des rootkits, trois services aléatoires, nous devons nous en débarrasser :

¤ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
¤ Double-clique sur OTM.exe pour le lancer.
¤ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


______________________________________________
:files
c:\windows\system32\drivers\xhrfi.sys
c:\windows\system32\drivers\oopuhnpkpjv.sys
c:\windows\system32\drivers\gocimxpxld.sys
:services
xapiosqilhq
khqlmxop
cekzzlvbdhtkvl
:commands
[purity]
[emptytemp]
______________________________________________

¤ Clique sur MoveIt! puis ferme OTM.
¤ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
¤ Accepte en cliquant sur YES.
¤ Poste le rapport situé dans C:\_OTM\MovedFiles.
¤ Le nom du rapport correspond au moment de sa création : date_heure.log

Bonne chance @+
0
Réponse 15 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
1 oct. 2010 à 10:16
Bonjour,

Voici le rapport OTM:

All processes killed
========== FILES ==========
File/Folder c:\windows\system32\drivers\xhrfi.sys not found.
File/Folder c:\windows\system32\drivers\oopuhnpkpjv.sys not found.
File/Folder c:\windows\system32\drivers\gocimxpxld.sys not found.
========== SERVICES/DRIVERS ==========
Service xapiosqilhq stopped successfully!
Service xapiosqilhq deleted successfully!
Service khqlmxop stopped successfully!
Service khqlmxop deleted successfully!
Service cekzzlvbdhtkvl stopped successfully!
Service cekzzlvbdhtkvl deleted successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Dj Talion
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15989862 bytes
->Flash cache emptied: 522 bytes

User: Laeti
->Temp folder emptied: 809 bytes
->Temporary Internet Files folder emptied: 3229470 bytes
->Java cache emptied: 56105 bytes
->FireFox cache emptied: 46226324 bytes
->Google Chrome cache emptied: 6283429 bytes
->Apple Safari cache emptied: 975872 bytes
->Flash cache emptied: 2011912 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 1465 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
1 oct. 2010 à 14:58
OTM m'a l'air d'avoir bien travaillé, refait un ZHPDiag pour voir (sans oublier de le mettre sur cijoint ;-) ) sinon, poste le en deux parties
0
Réponse 16 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
5 oct. 2010 à 20:42
Bonjour,

Désolée de ne répondre qu'aujourd'hui !

Voici le lien du diagnostic ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201010/cijcuHLaTd.txt

Merci ;o)
0
Réponse 17 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
5 oct. 2010 à 22:46
Re,

Un petit script et c'est terminé ;-) :

¤ Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) (Sous Vista/Seven, clique droit "Executer en tant qu'administrateur")
¤ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¤ Copie/colle les lignes suivantes et place les dans ZHPFix :

______________________________________________
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\xxx@xxx.com
O42 - Logiciel: Dealio Toolbar 3.1.1
______________________________________________

¤ Clique sur « Tous », puis sur « Nettoyer »
¤ Copie/colle la totalité du rapport dans ta prochaine réponse

@+
0
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
6 oct. 2010 à 17:30
En plus du rapport... Voudrai tu me répondre à cette question.
Tes problèmes sont apparus après l'installation de Bandoo ou avant ?
0
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
6 oct. 2010 à 19:14
Bizzarement les problèmes sont apparus lorsque j'ai changé d'écran de PC ! Tu vas me dire que ca n'a rien à voir et je te crois :-) !

Par contre après avoir fait des réglages de résolution d'écran avec mon nouveau moniteur, j'ai voulu changer de fond d'écran et à chaque fois que je sélectionnais le fond d'écran en question (via un site internet peu fiable à mon avis) et bien le PC délirait: aucun son, l'apparence de la barre des taches et du menu "démarrer" qui se modifie toute seule, des applications bloquées, internet qui délire aussi,...bref je crois que ca vient de sites internet peu fiables.

Bandoo est installé sur le PC depuis très longtemps déjà et il n'y avait pas de soucis visibles...je n'ai rien remarqué en tout cas !
0
Réponse 18 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
6 oct. 2010 à 19:15
Voici le rapport demandé:

ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 06/10/2010 19:08:35
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\program files\mozilla firefox\extensions\xxx@xxx.com => Fichier absent

Logiciel :
O42 - Logiciel: Dealio Toolbar 3.1.1 => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 1
Logiciel : 1
Autre : 0


End of the scan
0
Réponse 19 / 67
Karel7 Messages postés 709 Date d'inscription mardi 11 mai 2010 Statut Contributeur Dernière intervention 2 octobre 2019 58
6 oct. 2010 à 22:18
Salut,

Ok c'est terminé :

<|> Utilise MBAM pour bien tout nettoyer :

¤ Télécharge Malwarebytes Antimalware

¤¤¤> Tutoriel MBAM

¤ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

¤ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

¤ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

¤ L'analyse peut durer un bon moment.....

¤ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

¤ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

¤ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

<|> Pour supprimer tout les outils :

¤ Relancer ZHPDiag et générer un rapport en appuyant sur la loupe en haut à gauche.
¤ A la fin du chargement, cliquer en haut à droite sur l'icône du bouclier vert pour lancer ZHPfix.
¤ Appuyer maintenant sur le A rouge en haut pour lancer la suppression des outils.
¤ Sélectionner tout les outils en appuyant sur "Tous" (tous les outils sont cochés par défaut) et cliquer ensuite sur "Nettoyer".
¤ Redémarrer à la demande.

<|> Un petit coup de Ccleaner :

Utilise ce programme pour optimiser ton ordinateur :

¤ Télécharge CCleaner Slim.
¤ Installe le puis lance le.
¤ Clique sur Nettoyeur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
¤ Enfin, clique sur Registre > corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

<|> La restauration du système a peut être été touchée, le mieux est de la purger (la désactiver et la réactiver) :

¤ Sous XP :

o Aller au menu démarrer et cliquer droit sur "Poste de travail" et sélectionner "Propriétés"
o Dans l'onglet "Restauration du système", cocher "Désactiver la restauration du système sur tout les lecteurs"
o Cliquer sur appliquer et confirmer (tout les points de restauration sont supprimés).
o Décocher la case "Désactiver la restauration du système sur tout les lecteurs" et cliquer sur Appliquer pour réactiver la restauration du système.

¤ Sous Vista/Seven :

o Aller au menu démarrer et cliquer droit sur "Ordinateur" puis sélectionner "Propriétés"
o Cliquer sur "Protection du système"
o Décocher la case du ou des disques pour lesquels on veut désactiver la restauration du système
o Cliquer sur OK et confirmer (tout les points de restauration sont supprimés).
o Recocher la case des disques pour lesquels on veut réactiver la restauration du système et valider.

Créer un point de restauration propre pour finir :

¤ Sous XP :

o Aller au menu demarrer
o Dans "Tous les programmes"
o Dans "Accessoires"
o Dans "outils système"
o Cliquer sur "restauration du système"
o Cocher "Créer un point de restauration" et cliquer sur "Suivant"
o Entrer une description n'importe du point de restauration puis cliquer sur "Créer"
o Le point se crée, cliquer sur fermer pour quitter la restauration du système

¤ Sous Vista :

o Dans le menu démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Centre de sauvegarde et de restauration"
o Puis sur le volet de gauche, cliquer sur "Créer un point de restauration ou modifier les paramètres"
o L'onglet Protection du système s'ouvre, vérifier que votre disque soit bien coché, puis cliquer sur "Créer"
o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur Créer
o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres.

¤ Sous Seven :

o Dans Démarrer, puis "Rechercher", taper "restauration", puis cliquer sur "Créer un point de restauration"
o L'onglet Protection du système s'ouvre, vérifier que la protection sur votre disque soit bien activée, puis cliquer sur "Créer"
o Entrer une description pour identifier facilement le point de restauration, puis cliquer sur "Créer"
o Le point de restauration se crée, un message de réussite apparaît : le point a été créé, refermer les fenêtres.

<|> Pour garder un PC propre, il faut tout d'abord installer une protection, ce qui veut dire, installer un antivirus, un antispyware et un pare feu, voila quelques conseils :
Antivirus payant -> Kaspersky, Antivirus gratuit -> Avira antivir / Avast
Antispyware payant -> Malwarebytes Antimalware, Antispyware gratuit -> SuperAntispyware
Pare feu payant -> ZoneAlarm, Pare feu gratuit -> COMODO.>>> Tuto COMODO
Toute fois, on est jamais assez prudent, il faut faire attention à son comportement sur le net, les cracks les keygens la P2P sont tous à bannir.
Une autre précaution à prendre, les mises à jour, celles ci sont contrairement à ce que la plupart des gens pensent très très importantes, les application les plus importantes à mettre à jour sont : Adobe Reader, Java, Flash player et les mises à jour windows (mise à jour du navigateur incluse, que ce soit Internet Explorer, Firefox, Opera, Safari ou autre ...), voilà un logiciel très léger et utile pour les mises à jour (éviter les bêtas) > File Hippo Update Cheker

Si vous utilisez Firefox (ce que je conseil vu qu'il protège bien contre les attaques malware) il y a quelques extensions utiles, tel que WOT pour identifier les sites dangereux, AD BlockPlus qui bloque les publicités intempestives et aussi NoScript qui protège contre les scripts malware.

Voilà aussi quelques liens utiles
Les mises à jour Windows
Les mises de Adobe Reader et Java et Flash player
Le danger des cracks
Les toolbars
Comparatif Antivirus
Comparatif Antivirus
Les infections USB

J'attends tes rapports ;-)
0
Réponse 20 / 67
ladymix Messages postés 196 Date d'inscription jeudi 17 décembre 2009 Statut Membre Dernière intervention 12 mai 2014
8 oct. 2010 à 20:58
Bonjour,

Voici le rapport MBAM:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4780

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08/10/2010 20:57:06
mbam-log-2010-10-08 (20-57-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 300315
Temps écoulé: 1 heure(s), 20 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Discussions similaires

fichiers ATT
omega69 -
omega69 -

6 réponses
'' Votre colis est en attente de dédouanement "
Lau-rat -
ilomax -

4 réponses
FICHIER ATT001
maododia -
benjo -

17 réponses
Colis shein signé terminal Paris Valedwaz. [sujet groupé]
maeva.30 -
Xileh -

202 réponses
fichier ATT00001
ericlagaffe -
sachasushy -

7 réponses