Infecté par tr/muwid.tq

damchag Messages postés 1105 Statut Membre -  
damchag Messages postés 1105 Statut Membre -
Bonjour à tous

J'ai fait un scan avec antivir sur mon pc de bureau configuré Windows XP familial et Firefox 3.6.10 et il me trouve deux fichiers infectés par" tr/muwid.tq " J'ai fait le scan deux fois et malgré la mise en quarantaine, il serait toujours présent. Je n'ai trouvé aucune info sur cet intrus.
---- Pour info je fais ce post avec mon ordi portable.
----Merci de votre aide


81 réponses

Réponse 1 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt

il faudrait nous coller le rapport d'antivir

a plus
0
Réponse 2 / 81
damchag Messages postés 1105 Statut Membre 20
 
jlpjlp merci pour cette réponse rapide je m'occupe de ça. @ de suite
0
Réponse 3 / 81
damchag Messages postés 1105 Statut Membre 20
 
voilà le rapport antivir

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 28 septembre 2010 07:29

La recherche porte sur 2880372 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : GIUDY

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/12/2009 20:17:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:17:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:17:21
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:13:17
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:13:30
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 07:40:24
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:06:06
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:24:35
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 15:26:33
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:13:52
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 11:13:53
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 11:13:54
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 11:13:54
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 11:13:54
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 22:18:20
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 17:48:45
VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 07:50:16
VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 11:55:40
VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 14:17:24
VBASE018.VDF : 7.10.12.39 2048 Bytes 27/09/2010 14:17:24
VBASE019.VDF : 7.10.12.40 2048 Bytes 27/09/2010 14:17:25
VBASE020.VDF : 7.10.12.41 2048 Bytes 27/09/2010 14:17:25
VBASE021.VDF : 7.10.12.42 2048 Bytes 27/09/2010 14:17:25
VBASE022.VDF : 7.10.12.43 2048 Bytes 27/09/2010 14:17:25
VBASE023.VDF : 7.10.12.44 2048 Bytes 27/09/2010 14:17:25
VBASE024.VDF : 7.10.12.45 2048 Bytes 27/09/2010 14:17:26
VBASE025.VDF : 7.10.12.46 2048 Bytes 27/09/2010 14:17:26
VBASE026.VDF : 7.10.12.47 2048 Bytes 27/09/2010 14:17:26
VBASE027.VDF : 7.10.12.48 2048 Bytes 27/09/2010 14:17:26
VBASE028.VDF : 7.10.12.49 2048 Bytes 27/09/2010 14:17:26
VBASE029.VDF : 7.10.12.50 2048 Bytes 27/09/2010 14:17:26
VBASE030.VDF : 7.10.12.51 2048 Bytes 27/09/2010 14:17:27
VBASE031.VDF : 7.10.12.52 2048 Bytes 27/09/2010 14:17:27
Version du moteur : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 14/08/2010 15:27:08
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 22:18:28
AESCN.DLL : 8.1.6.1 127347 Bytes 20/05/2010 06:41:27
AESBX.DLL : 8.1.3.1 254324 Bytes 20/05/2010 06:41:31
AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 07:50:28
AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 22:18:27
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 14/08/2010 15:27:03
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 27/09/2010 14:17:31
AEHELP.DLL : 8.1.13.4 242038 Bytes 27/09/2010 14:17:28
AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 22:18:23
AEEMU.DLL : 8.1.2.0 393588 Bytes 20/05/2010 06:41:21
AECORE.DLL : 8.1.17.0 196982 Bytes 27/09/2010 14:17:28
AEBB.DLL : 8.1.1.0 53618 Bytes 20/05/2010 06:41:19
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 23/12/2009 20:17:22
AVREP.DLL : 8.0.0.7 159784 Bytes 02/03/2010 19:15:02
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/12/2009 20:17:15
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/12/2009 20:17:15

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: réparer
Action secondaire.............................: renommer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:, H:, I:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mardi 28 septembre 2010 07:29

La recherche d'objets cachés commence.
'50864' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KHALMNPR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'raid_tool.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <winxp>
C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
[RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
[REMARQUE] Une copie de sécurité a été créée sous le nom 4d1b8462.qua ( QUARANTAINE )
C:\System Volume Information\_restore{C887CD8E-2392-4272-9CA9-FB0ACE405D89}\RP375\A0285564.exe.VIR
[RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
[REMARQUE] Une copie de sécurité a été créée sous le nom 4cd3872e.qua ( QUARANTAINE )
Recherche débutant dans 'E:\' <DISC >
Recherche débutant dans 'F:\' <Backup>
F:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'H:\' <BACKUP2>
Recherche débutant dans 'I:\' <Charly DD>


Fin de la recherche : mardi 28 septembre 2010 11:18
Temps nécessaire: 3:49:13 Heure(s)

La recherche a été effectuée intégralement

9026 Les répertoires ont été contrôlés
405092 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
405089 Fichiers non infectés
9302 Les archives ont été contrôlées
1 Avertissements
3 Consignes
50864 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
damchag Messages postés 1105 Statut Membre 20
 
jlpjlp
Pour info je suis repassé sur mon pc de bureau. Dont je rappelle la config :
Windows XP Familial
Service Pack 3
AMD Sempron(tm) Processor 2800+
1,60GHz
1 Go de RAM
Extension adresse physique.
J'ai fait un scan rapide malwarebytes au cas-où.

Apparemment, il n'y aurait plus rien mais malgré tout mon Pc rame .
Merci encore

MALWAREBYTES RAPPORT SCAN RAPIDE

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4613

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

28/09/2010 19:52:02
mbam-log-2010-09-28 (19-52-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 149772
Temps écoulé: 17 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

---- Et un rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:41:25, on 28/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\charly\Bureau\NETTOYEUR\7 ) HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_Plugin.exe -update plugin
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb\tribalweb.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{676C2189-629F-47D2-9643-FD8E372A24A8}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 4 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
mets à jour malwarebyte et remets un rapport


puis



Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
damchag Messages postés 1105 Statut Membre 20
 
ok c'est parti j'ai coché les 2 cases que tu m'as dit puis celle de " tous les utilisateurs" ensuite j'ai cliqué sur "Analyse"
est-ce Correct ? merci
0
damchag Messages postés 1105 Statut Membre 20
 
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201009/cijbBrkZku.txt

je te refais un scan rapide de malwarebytes et te l'envoie dès que c'est bon
0
damchag Messages postés 1105 Statut Membre 20
 
En plus de OTL.text que je t'ai envoyé comme indiqué ci-dessus j'ai également un fichier " EXTRA.text. est-ce-que je te l'envoie également ?

voici le rapport malawarebytes
il me détecte une clé infectée par " Rogue Eorezo "pour l'instant je n'ai effectué aucune action j'attends tes directives::

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4712

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

28/09/2010 21:45:59
mbam-log-2010-09-28 (21-45-59).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 152490
Temps écoulé: 11 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
oui
0
Réponse 6 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
télécharge OTM
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
(de Old_Timer) sur ton Bureau.

double-clique sur OTM.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.


:processes
explorer.exe
:files
C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
:commands
[purity]
[emptytemp]
[start explorer]


clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTM\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
0
damchag Messages postés 1105 Statut Membre 20
 
OK.
1--Puis- je peux fermer malawarebytes, je te rappelle que je n'ai pas supprimer la sélection infectée ?
2--est-ce que je t'envoie le fichier EXTRA.TEXT de OLT enfin en ce qui concerne hijackthis, je n'ai également effectué aucune opération .
3--Dois-je fermer ces applications avant d'effectuer OTM ?
0
damchag Messages postés 1105 Statut Membre 20
 
Voici le rapport

Je dois te dire qu'au moment où j'ai cliqué sur "Movelt" une fenêtre Antivir est apparue pour me signaler que le dossier C\Program files\HP\dIGITAL iMAGING\OCR\HPZMSI 01.EXE.VIR contient le cheval de troie " TR/Muwid.TQ et me demande quoi faire de ce fichier . La sélection par défaut est "refuser l'accès" j'ai donc cliqué sur "OK" et l'exécution de OTM est repartie d'ou le rapport ci-dessous.


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: charly
->Temp folder emptied: 18219041 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 53261786 bytes
->Flash cache emptied: 1563 bytes

User: Charly_2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3159786 bytes
->FireFox cache emptied: 21572435 bytes
->Flash cache emptied: 592 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 115616 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 220629088 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 2415616 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 24192 bytes
Windows Temp folder emptied: 206026 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 77473368 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 381,00 mb


OTM by OldTimer - Version 3.1.16.1 log created on 09282010_220855

Files moved on Reboot...

Registry entries deleted on Reboot...
0
damchag Messages postés 1105 Statut Membre 20
 
je pars me coucher , j'embauche à 5 heures, mon problème n'est pas résolu je pense; j'attends que tu me dises ce que tu penses de ces rapports . Merci encore
0
Réponse 7 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
1/ colle le rapport de malwarebyte et vire ce qui est trouvé

2/ lance le logiciel AD Remover et colle nous un rapport de suppression
(désactiver antivir le temps de l'analyse)

3/
* Lance OTM pour l'exécuter. (Si vous êtes sous Vista, cliquez-droit sur le fichier OTM.exe et exécutez-le en tant qu'administrateur.)
* Cliquez sur CleanUp !.
* Le logiciel va demander de commencer l'analyse. Acceptez.
* Il vous sera demandé le redémarrage de votre PC pour finir la suppression des fichiers et supprimer également OTM. Acceptez.

4/ remets un rapport ANTIVIR
0
Réponse 8 / 81
damchag Messages postés 1105 Statut Membre 20
 
re jlpjlp

Bonsoir
je viens de rentrer et hier soir avant de me coucher j'ai refait un scan complet de malawarebytes et antivir je te les colles .et attends de savoir si je dois effectuer de nouveau les oporérations données ci-dessus et lancer le logiciel " Ad Remove " .
Pour info je suis sous :

Windows XP Familial
Service Pack 3
AMD Sempron(tm) Processor 2800+
1,60GHz
1 Go de RAM
Extension adresse physique.

De plus lorsque j'ai allumé mon ordi, il rame toujours et il m'a fallu presque 1mn pour afficher la page de Mozilla

Voici le rapport complet de Malwarebytes:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1337
Windows 5.1.2600 Service Pack 3

29/10/2008 19:36:21
mbam-log-2008-10-29 (19-36-21).txt

Type de recherche: Examen complet (C:\|E:\|F:\|H:\|)
Eléments examinés: 101458
Temps écoulé: 1 hour(s), 21 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-0000-0000-0000-100005000004} (Rogue.Installer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et le rapport Antivir

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 28 septembre 2010 07:29

La recherche porte sur 2880372 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : GIUDY

Informations de version :
BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/12/2009 20:17:22
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:17:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:17:21
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:13:17
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:13:30
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 07:40:24
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:06:06
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:24:35
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 15:26:33
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:13:52
VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 11:13:53
VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 11:13:54
VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 11:13:54
VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 11:13:54
VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 22:18:20
VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 17:48:45
VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 07:50:16
VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 11:55:40
VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 14:17:24
VBASE018.VDF : 7.10.12.39 2048 Bytes 27/09/2010 14:17:24
VBASE019.VDF : 7.10.12.40 2048 Bytes 27/09/2010 14:17:25
VBASE020.VDF : 7.10.12.41 2048 Bytes 27/09/2010 14:17:25
VBASE021.VDF : 7.10.12.42 2048 Bytes 27/09/2010 14:17:25
VBASE022.VDF : 7.10.12.43 2048 Bytes 27/09/2010 14:17:25
VBASE023.VDF : 7.10.12.44 2048 Bytes 27/09/2010 14:17:25
VBASE024.VDF : 7.10.12.45 2048 Bytes 27/09/2010 14:17:26
VBASE025.VDF : 7.10.12.46 2048 Bytes 27/09/2010 14:17:26
VBASE026.VDF : 7.10.12.47 2048 Bytes 27/09/2010 14:17:26
VBASE027.VDF : 7.10.12.48 2048 Bytes 27/09/2010 14:17:26
VBASE028.VDF : 7.10.12.49 2048 Bytes 27/09/2010 14:17:26
VBASE029.VDF : 7.10.12.50 2048 Bytes 27/09/2010 14:17:26
VBASE030.VDF : 7.10.12.51 2048 Bytes 27/09/2010 14:17:27
VBASE031.VDF : 7.10.12.52 2048 Bytes 27/09/2010 14:17:27
Version du moteur : 8.2.4.66
AEVDF.DLL : 8.1.2.1 106868 Bytes 14/08/2010 15:27:08
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 22:18:28
AESCN.DLL : 8.1.6.1 127347 Bytes 20/05/2010 06:41:27
AESBX.DLL : 8.1.3.1 254324 Bytes 20/05/2010 06:41:31
AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 07:50:28
AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 22:18:27
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 14/08/2010 15:27:03
AEHEUR.DLL : 8.1.2.27 2933110 Bytes 27/09/2010 14:17:31
AEHELP.DLL : 8.1.13.4 242038 Bytes 27/09/2010 14:17:28
AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 22:18:23
AEEMU.DLL : 8.1.2.0 393588 Bytes 20/05/2010 06:41:21
AECORE.DLL : 8.1.17.0 196982 Bytes 27/09/2010 14:17:28
AEBB.DLL : 8.1.1.0 53618 Bytes 20/05/2010 06:41:19
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 23/12/2009 20:17:22
AVREP.DLL : 8.0.0.7 159784 Bytes 02/03/2010 19:15:02
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/12/2009 20:17:15
RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/12/2009 20:17:15

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: réparer
Action secondaire.............................: renommer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:, H:, I:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mardi 28 septembre 2010 07:29

La recherche d'objets cachés commence.
'50864' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KHALMNPR.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'raid_tool.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'I:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '56' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <winxp>
C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
[RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
[REMARQUE] Une copie de sécurité a été créée sous le nom 4d1b8462.qua ( QUARANTAINE )
C:\System Volume Information\_restore{C887CD8E-2392-4272-9CA9-FB0ACE405D89}\RP375\A0285564.exe.VIR
[RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
[REMARQUE] Une copie de sécurité a été créée sous le nom 4cd3872e.qua ( QUARANTAINE )
Recherche débutant dans 'E:\' <DISC >
Recherche débutant dans 'F:\' <Backup>
F:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'H:\' <BACKUP2>
Recherche débutant dans 'I:\' <Charly DD>


Fin de la recherche : mardi 28 septembre 2010 11:18
Temps nécessaire: 3:49:13 Heure(s)

La recherche a été effectuée intégralement

9026 Les répertoires ont été contrôlés
405092 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
405089 Fichiers non infectés
9302 Les archives ont été contrôlées
1 Avertissements
3 Consignes
50864 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés




Merci à toi encore j'attends ta réponse pour tes recommandations
0
Réponse 9 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
pour malwarebyte c'est quoi cette version datant de plusieurs années ?


colle un rapport de recherche avec dr web https://www.commentcamarche.net/telecharger/securite/7749-dr-web-cureit/
0
Réponse 10 / 81
damchag Messages postés 1105 Statut Membre 20
 
je viens de lire ça également , je n'en sais F...... rien .
Je crois que je vais refaire ce que tu m'as dit plus haut qu'est-ce-que tu en pense ? merci
0
Réponse 11 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
oui refais
pour malwarebyte c'est quoi cette version datant de plusieurs années ?


colle un rapport de recherche avec dr web https://www.commentcamarche.net/telecharger/securite/7749-dr-web-cureit/


et repasse OTM mais après avoir désactivé antivir avant et colle nous le rapport
0
Réponse 12 / 81
damchag Messages postés 1105 Statut Membre 20
 
je suis sur mon portable .
Le scan dr web est entrain de s'effectuer en mode protection renforcée
0
Réponse 13 / 81
damchag Messages postés 1105 Statut Membre 20
 
re
le scan est terminé. Aucun virus détecté. toutefois,
Une fenêtre me signale que le
" Fichier HOSTS a été modifié.
--windows utilise le fichier HOSTS pour convertir les noms d'hôtes au format texte vers les adresses IP. La modification du fichier HOSTS peut résulter d'une activité de malware. Souhaiter restorer le fichier HOSTS à son état d'origine ?
---Une copie du fichierHOSTS existant sera sauvegardé vers le dossier 40 taine Dr Web"

Vu la sauvegarde], j'ai cliqué sur NON.

Je ne sais pas ou je peux trouver le rapport.
Je ne peux plus cliqué sur une icône de mon bureau], l'éclairage de ce dernier est assombri et "Dr Web Curelt- Mode Protection Renforcée est inscrit sur les 4 coins de l'écran. Je peux bouger la souris mais elle m'est inutile .
Que faire ? Merci ( je suis serein et pas du tout inquiet...promis)
Je laisse en l'état et n'éteins pas mon ordi de bureau (je rappelle que je poste de mon portable depuis le lancement de "Dr Web". Je reste en attente jusqu'à 23h 30 car demain , rebelote 5h15.merci

Bonjour

pour mon ordi de bureau, je ne peux toujours rien faire
Ma souris fonctionne
je ne peux accéder au menu démarrer
ni éteindre mon ordi si ce n'est, je pense, en appuyant sur le bouton de la tour (du moins je l'espère)
Je pars au travail dans peu
je te souhaite une bonne journée
@++
0
Réponse 14 / 81
damchag Messages postés 1105 Statut Membre 20
 
re
Désolé, je viens de rentrer plus tard que prévu. j'ai toujours dans la même position qu'indiqué dessus.J'avoue que je ne sais pas quoi faire. Dois-je rebooté mon ordi en l'éteignant par la tour. ,
merci
0
Réponse 15 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
oui reboote le pc en appuyant sur le bouton de la tour puis dis si le pc remarche
0
Réponse 16 / 81
damchag Messages postés 1105 Statut Membre 20
 
le p^c a redémarré toutefois des bruits bizarres dans la tour dans le style "tic-tac" tu sais ces deux boules accrochées à une ficelle m'ont obligé à le redémarré une nouvelle fois à l'instant.

et là ça à l'air de fonctionné. du moins plus de bruits
0
Réponse 17 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
pour voir


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 18 / 81
damchag Messages postés 1105 Statut Membre 20
 
échec au téléchargement de la console de recupération ???

je perd les pédales. Pour info j'ai tout reconnecté avant ce post et surtout aprés le message d'erreur
0
Réponse 19 / 81
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
tu as passé combofix? tu as le rapport?
0
Réponse 20 / 81
damchag Messages postés 1105 Statut Membre 20
 
le voilà
ComboFix 10-09-30.01 - charly 30/09/2010 22:19:32.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.682 [GMT 2:00]
Lancé depuis: c:\documents and settings\charly\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\charly\Application Data\Desktopicon

c:\windows\system32\drivers\vidstub.sys . . . est infecté!! . . . Impossible de trouver un substitut valide.
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-30 ))))))))))))))))))))))))))))))))))))
.

2010-09-29 18:57 . 2010-09-29 18:57 -------- d-----w- c:\documents and settings\charly\DoctorWeb
2010-09-28 23:39 . 2010-09-28 23:39 -------- d-----w- c:\documents and settings\charly\AbiSuite
2010-09-28 20:08 . 2010-09-28 20:08 -------- d-----w- C:\_OTM
2010-09-27 16:25 . 2010-09-27 16:26 -------- d-----w- c:\program files\CCleaner
2010-09-27 16:23 . 2010-09-27 16:23 -------- d-----w- c:\documents and settings\charly\Application Data\vlc

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-30 17:35 . 2009-11-24 22:26 -------- d-----w- c:\program files\Microsoft Silverlight
2010-09-29 09:56 . 2009-10-27 20:56 -------- d-----w- c:\program files\MyDefrag v4.2.3
2010-09-27 21:14 . 2006-09-13 08:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-18 23:40 . 2008-11-04 18:35 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-17 13:17 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-15 00:19 . 2004-08-05 12:00 567814 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-15 00:19 . 2004-08-05 12:00 110038 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\program files\Fichiers communs\Java
2010-08-14 19:22 . 2006-09-01 16:06 -------- d-----w- c:\program files\Java
2010-08-14 19:19 . 2010-08-14 19:19 503808 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\msvcp71.dll
2010-08-14 19:19 . 2010-08-14 19:19 499712 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\jmc.dll
2010-08-14 19:19 . 2010-08-14 19:19 348160 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\msvcr71.dll
2010-08-14 19:19 . 2010-08-14 19:19 61440 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2c40424b-n\decora-sse.dll
2010-08-14 19:19 . 2010-08-14 19:19 12800 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2c40424b-n\decora-d3d.dll
2010-07-22 15:48 . 2004-08-05 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-17 03:00 . 2010-05-20 09:44 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-14 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2004-10-11 589824]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"BootSkin Startup Jobs"="c:\progra~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 270336]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3728:TCP"= 3728:TCP:GIGATRIBE

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/12/2009 22:08 108289]
S0 yckfdg;yckfdg;c:\windows\system32\drivers\bucech.sys --> c:\windows\system32\drivers\bucech.sys [?]
S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [28/08/2006 15:29 152576]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys --> c:\windows\system32\DRIVERS\wg111v2.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-09-30 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-14 09:18]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://mystart.incredimail.com/
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>;*.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {676C2189-629F-47D2-9643-FD8E372A24A8} = 212.27.32.176,212.27.32.177
FF - ProfilePath - c:\documents and settings\charly\Application Data\Mozilla\Firefox\Profiles\1r3ujil3.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=
FF - plugin: c:\documents and settings\charly\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-30 22:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86F0AA20]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf75f0f28
\Driver\ACPI -> ACPI.sys @ 0xf744acb8
\Driver\atapi -> 0x86f0aa20
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf72f6bb0
PacketIndicateHandler -> NDIS.sys @ 0xf72e5a0d
SendHandler -> NDIS.sys @ 0xf72f9b40
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1482476501-854245398-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2010-09-30 22:30:32
ComboFix-quarantined-files.txt 2010-09-30 20:30

Avant-CF: 8 663 449 600 octets libres
Après-CF: 8 738 574 336 octets libres

- - End Of File - - B179301A89413F13AE7B872989AAEC02
0

Discussions similaires

Signification "TR"
andromeid -
matrix4422 -

3 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Problème casque sennheiser 4200
barbie35 -
Beenaxa -

1 réponse