Infecté par tr/muwid.tq

damchag Messages postés 1105 Statut Membre -  
damchag Messages postés 1105 Statut Membre -
Bonjour à tous

J'ai fait un scan avec antivir sur mon pc de bureau configuré Windows XP familial et Firefox 3.6.10 et il me trouve deux fichiers infectés par" tr/muwid.tq " J'ai fait le scan deux fois et malgré la mise en quarantaine, il serait toujours présent. Je n'ai trouvé aucune info sur cet intrus.
---- Pour info je fais ce post avec mon ordi portable.
----Merci de votre aide

81 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
Résumé de la discussion

Détection par Avira AntiVir de deux fichiers infectés par tr/muwid.tq sur un PC Windows XP, malgré la mise en quarantaine et plusieurs scans, et Firefox 3.6.10.
Plusieurs réponses préconisent d’utiliser Malwarebytes pour un rapport rapide, puis AD Remover et OTM pour nettoyer, avant de relancer l’analyse antivirus et de recueillir un rapport final.
Des éléments indiquent que DrWeb n’a rien trouvé et qu’accéder au mode sans échec est difficile, tandis que HijackThis montre de nombreuses entrées suspectes et des paramètres modifiés.
Une amélioration est évoquée après redémarrage et ouverture de plusieurs fenêtres web, mais le fil souligne encore la nécessité d’un nettoyage plus en profondeur et d’un nouveau scan.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    il faudrait nous coller le rapport d'antivir

    a plus
    0
  2. damchag Messages postés 1105 Statut Membre 20
     
    jlpjlp merci pour cette réponse rapide je m'occupe de ça. @ de suite
    0
  3. damchag Messages postés 1105 Statut Membre 20
     
    voilà le rapport antivir

    Avira AntiVir Personal
    Date de création du fichier de rapport : mardi 28 septembre 2010 07:29

    La recherche porte sur 2880372 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : GIUDY

    Informations de version :
    BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/12/2009 20:17:22
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:17:20
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:17:21
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:13:17
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:13:30
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 07:40:24
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:06:06
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:24:35
    VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 15:26:33
    VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:13:52
    VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 11:13:53
    VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 11:13:54
    VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 11:13:54
    VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 11:13:54
    VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 22:18:20
    VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 17:48:45
    VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 07:50:16
    VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 11:55:40
    VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 14:17:24
    VBASE018.VDF : 7.10.12.39 2048 Bytes 27/09/2010 14:17:24
    VBASE019.VDF : 7.10.12.40 2048 Bytes 27/09/2010 14:17:25
    VBASE020.VDF : 7.10.12.41 2048 Bytes 27/09/2010 14:17:25
    VBASE021.VDF : 7.10.12.42 2048 Bytes 27/09/2010 14:17:25
    VBASE022.VDF : 7.10.12.43 2048 Bytes 27/09/2010 14:17:25
    VBASE023.VDF : 7.10.12.44 2048 Bytes 27/09/2010 14:17:25
    VBASE024.VDF : 7.10.12.45 2048 Bytes 27/09/2010 14:17:26
    VBASE025.VDF : 7.10.12.46 2048 Bytes 27/09/2010 14:17:26
    VBASE026.VDF : 7.10.12.47 2048 Bytes 27/09/2010 14:17:26
    VBASE027.VDF : 7.10.12.48 2048 Bytes 27/09/2010 14:17:26
    VBASE028.VDF : 7.10.12.49 2048 Bytes 27/09/2010 14:17:26
    VBASE029.VDF : 7.10.12.50 2048 Bytes 27/09/2010 14:17:26
    VBASE030.VDF : 7.10.12.51 2048 Bytes 27/09/2010 14:17:27
    VBASE031.VDF : 7.10.12.52 2048 Bytes 27/09/2010 14:17:27
    Version du moteur : 8.2.4.66
    AEVDF.DLL : 8.1.2.1 106868 Bytes 14/08/2010 15:27:08
    AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 22:18:28
    AESCN.DLL : 8.1.6.1 127347 Bytes 20/05/2010 06:41:27
    AESBX.DLL : 8.1.3.1 254324 Bytes 20/05/2010 06:41:31
    AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 07:50:28
    AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 22:18:27
    AEOFFICE.DLL : 8.1.1.8 201081 Bytes 14/08/2010 15:27:03
    AEHEUR.DLL : 8.1.2.27 2933110 Bytes 27/09/2010 14:17:31
    AEHELP.DLL : 8.1.13.4 242038 Bytes 27/09/2010 14:17:28
    AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 22:18:23
    AEEMU.DLL : 8.1.2.0 393588 Bytes 20/05/2010 06:41:21
    AECORE.DLL : 8.1.17.0 196982 Bytes 27/09/2010 14:17:28
    AEBB.DLL : 8.1.1.0 53618 Bytes 20/05/2010 06:41:19
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 23/12/2009 20:17:22
    AVREP.DLL : 8.0.0.7 159784 Bytes 02/03/2010 19:15:02
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/12/2009 20:17:15
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/12/2009 20:17:15

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: réparer
    Action secondaire.............................: renommer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, E:, F:, H:, I:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

    Début de la recherche : mardi 28 septembre 2010 07:29

    La recherche d'objets cachés commence.
    '50864' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'KHALMNPR.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'raid_tool.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '30' processus ont été contrôlés avec '30' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'E:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'F:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'H:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'I:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '56' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <winxp>
    C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
    [RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
    [REMARQUE] Une copie de sécurité a été créée sous le nom 4d1b8462.qua ( QUARANTAINE )
    C:\System Volume Information\_restore{C887CD8E-2392-4272-9CA9-FB0ACE405D89}\RP375\A0285564.exe.VIR
    [RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
    [REMARQUE] Une copie de sécurité a été créée sous le nom 4cd3872e.qua ( QUARANTAINE )
    Recherche débutant dans 'E:\' <DISC >
    Recherche débutant dans 'F:\' <Backup>
    F:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    Recherche débutant dans 'H:\' <BACKUP2>
    Recherche débutant dans 'I:\' <Charly DD>

    Fin de la recherche : mardi 28 septembre 2010 11:18
    Temps nécessaire: 3:49:13 Heure(s)

    La recherche a été effectuée intégralement

    9026 Les répertoires ont été contrôlés
    405092 Des fichiers ont été contrôlés
    2 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    2 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    1 Impossible de contrôler des fichiers
    405089 Fichiers non infectés
    9302 Les archives ont été contrôlées
    1 Avertissements
    3 Consignes
    50864 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés
    0
    1. damchag Messages postés 1105 Statut Membre 20
       
      jlpjlp
      Pour info je suis repassé sur mon pc de bureau. Dont je rappelle la config :
      Windows XP Familial
      Service Pack 3
      AMD Sempron(tm) Processor 2800+
      1,60GHz
      1 Go de RAM
      Extension adresse physique.
      J'ai fait un scan rapide malwarebytes au cas-où.

      Apparemment, il n'y aurait plus rien mais malgré tout mon Pc rame .
      Merci encore

      MALWAREBYTES RAPPORT SCAN RAPIDE

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4613

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      28/09/2010 19:52:02
      mbam-log-2010-09-28 (19-52-02).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 149772
      Temps écoulé: 17 minute(s), 54 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)

      ---- Et un rapport Hijackthis :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:41:25, on 28/09/2010
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.17080)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\HPZipm12.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Unlocker\UnlockerAssistant.exe
      C:\Program Files\VIA\RAID\raid_tool.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Logitech\SetPoint\SetPoint.exe
      C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
      C:\Program Files\Logitech\iTouch\iTouch.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\charly\Bureau\NETTOYEUR\7 ) HiJackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_Plugin.exe -update plugin
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: TribalWeb.lnk = C:\Program Files\TribalWeb\tribalweb.exe
      O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
      O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{676C2189-629F-47D2-9643-FD8E372A24A8}: NameServer = 212.27.32.176,212.27.32.177
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe (file missing)
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    mets à jour malwarebyte et remets un rapport

    puis

    Télécharge OTL de OLDTimer ici :

    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
    1. damchag Messages postés 1105 Statut Membre 20
       
      ok c'est parti j'ai coché les 2 cases que tu m'as dit puis celle de " tous les utilisateurs" ensuite j'ai cliqué sur "Analyse"
      est-ce Correct ? merci
      0
    2. damchag Messages postés 1105 Statut Membre 20
       
      voici le lien
      http://www.cijoint.fr/cjlink.php?file=cj201009/cijbBrkZku.txt

      je te refais un scan rapide de malwarebytes et te l'envoie dès que c'est bon
      0
    3. damchag Messages postés 1105 Statut Membre 20
       
      En plus de OTL.text que je t'ai envoyé comme indiqué ci-dessus j'ai également un fichier " EXTRA.text. est-ce-que je te l'envoie également ?

      voici le rapport malawarebytes
      il me détecte une clé infectée par " Rogue Eorezo "pour l'instant je n'ai effectué aucune action j'attends tes directives::

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4712

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 7.0.5730.11

      28/09/2010 21:45:59
      mbam-log-2010-09-28 (21-45-59).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 152490
      Temps écoulé: 11 minute(s), 56 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 1
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> No action taken.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

    :processes
    explorer.exe
    :files
    C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    0
    1. damchag Messages postés 1105 Statut Membre 20
       
      OK.
      1--Puis- je peux fermer malawarebytes, je te rappelle que je n'ai pas supprimer la sélection infectée ?
      2--est-ce que je t'envoie le fichier EXTRA.TEXT de OLT enfin en ce qui concerne hijackthis, je n'ai également effectué aucune opération .
      3--Dois-je fermer ces applications avant d'effectuer OTM ?
      0
    2. damchag Messages postés 1105 Statut Membre 20
       
      Voici le rapport

      Je dois te dire qu'au moment où j'ai cliqué sur "Movelt" une fenêtre Antivir est apparue pour me signaler que le dossier C\Program files\HP\dIGITAL iMAGING\OCR\HPZMSI 01.EXE.VIR contient le cheval de troie " TR/Muwid.TQ et me demande quoi faire de ce fichier . La sélection par défaut est "refuser l'accès" j'ai donc cliqué sur "OK" et l'exécution de OTM est repartie d'ou le rapport ci-dessous.


      All processes killed
      ========== PROCESSES ==========
      No active process named explorer.exe was found!
      ========== FILES ==========
      C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR moved successfully.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: Administrateur
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: All Users

      User: charly
      ->Temp folder emptied: 18219041 bytes
      ->Temporary Internet Files folder emptied: 32902 bytes
      ->Java cache emptied: 0 bytes
      ->FireFox cache emptied: 53261786 bytes
      ->Flash cache emptied: 1563 bytes

      User: Charly_2
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 3159786 bytes
      ->FireFox cache emptied: 21572435 bytes
      ->Flash cache emptied: 592 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: LocalService
      ->Temp folder emptied: 115616 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 220629088 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 2134506 bytes
      %systemroot%\System32 .tmp files removed: 2415616 bytes
      %systemroot%\System32\dllcache .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 24192 bytes
      Windows Temp folder emptied: 206026 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 77473368 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 381,00 mb


      OTM by OldTimer - Version 3.1.16.1 log created on 09282010_220855

      Files moved on Reboot...

      Registry entries deleted on Reboot...
      0
    3. damchag Messages postés 1105 Statut Membre 20
       
      je pars me coucher , j'embauche à 5 heures, mon problème n'est pas résolu je pense; j'attends que tu me dises ce que tu penses de ces rapports . Merci encore
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    1/ colle le rapport de malwarebyte et vire ce qui est trouvé

    2/ lance le logiciel AD Remover et colle nous un rapport de suppression
    (désactiver antivir le temps de l'analyse)

    3/
    * Lance OTM pour l'exécuter. (Si vous êtes sous Vista, cliquez-droit sur le fichier OTM.exe et exécutez-le en tant qu'administrateur.)
    * Cliquez sur CleanUp !.
    * Le logiciel va demander de commencer l'analyse. Acceptez.
    * Il vous sera demandé le redémarrage de votre PC pour finir la suppression des fichiers et supprimer également OTM. Acceptez.

    4/ remets un rapport ANTIVIR
    0
  9. damchag Messages postés 1105 Statut Membre 20
     
    re jlpjlp

    Bonsoir
    je viens de rentrer et hier soir avant de me coucher j'ai refait un scan complet de malawarebytes et antivir je te les colles .et attends de savoir si je dois effectuer de nouveau les oporérations données ci-dessus et lancer le logiciel " Ad Remove " .
    Pour info je suis sous :

    Windows XP Familial
    Service Pack 3
    AMD Sempron(tm) Processor 2800+
    1,60GHz
    1 Go de RAM
    Extension adresse physique.

    De plus lorsque j'ai allumé mon ordi, il rame toujours et il m'a fallu presque 1mn pour afficher la page de Mozilla

    Voici le rapport complet de Malwarebytes:

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1337
    Windows 5.1.2600 Service Pack 3

    29/10/2008 19:36:21
    mbam-log-2008-10-29 (19-36-21).txt

    Type de recherche: Examen complet (C:\|E:\|F:\|H:\|)
    Eléments examinés: 101458
    Temps écoulé: 1 hour(s), 21 minute(s), 37 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-0000-0000-0000-100005000004} (Rogue.Installer) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    et le rapport Antivir

    Avira AntiVir Personal
    Date de création du fichier de rapport : mardi 28 septembre 2010 07:29

    La recherche porte sur 2880372 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : GIUDY

    Informations de version :
    BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 23/12/2009 20:17:22
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:17:20
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:17:21
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:13:17
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:13:30
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 07:40:24
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:06:06
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:24:35
    VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 15:26:33
    VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 11:13:52
    VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 11:13:53
    VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 11:13:54
    VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 11:13:54
    VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 11:13:54
    VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 22:18:20
    VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 17:48:45
    VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 07:50:16
    VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 11:55:40
    VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 14:17:24
    VBASE018.VDF : 7.10.12.39 2048 Bytes 27/09/2010 14:17:24
    VBASE019.VDF : 7.10.12.40 2048 Bytes 27/09/2010 14:17:25
    VBASE020.VDF : 7.10.12.41 2048 Bytes 27/09/2010 14:17:25
    VBASE021.VDF : 7.10.12.42 2048 Bytes 27/09/2010 14:17:25
    VBASE022.VDF : 7.10.12.43 2048 Bytes 27/09/2010 14:17:25
    VBASE023.VDF : 7.10.12.44 2048 Bytes 27/09/2010 14:17:25
    VBASE024.VDF : 7.10.12.45 2048 Bytes 27/09/2010 14:17:26
    VBASE025.VDF : 7.10.12.46 2048 Bytes 27/09/2010 14:17:26
    VBASE026.VDF : 7.10.12.47 2048 Bytes 27/09/2010 14:17:26
    VBASE027.VDF : 7.10.12.48 2048 Bytes 27/09/2010 14:17:26
    VBASE028.VDF : 7.10.12.49 2048 Bytes 27/09/2010 14:17:26
    VBASE029.VDF : 7.10.12.50 2048 Bytes 27/09/2010 14:17:26
    VBASE030.VDF : 7.10.12.51 2048 Bytes 27/09/2010 14:17:27
    VBASE031.VDF : 7.10.12.52 2048 Bytes 27/09/2010 14:17:27
    Version du moteur : 8.2.4.66
    AEVDF.DLL : 8.1.2.1 106868 Bytes 14/08/2010 15:27:08
    AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 17/09/2010 22:18:28
    AESCN.DLL : 8.1.6.1 127347 Bytes 20/05/2010 06:41:27
    AESBX.DLL : 8.1.3.1 254324 Bytes 20/05/2010 06:41:31
    AERDL.DLL : 8.1.9.2 635252 Bytes 22/09/2010 07:50:28
    AEPACK.DLL : 8.2.3.7 471413 Bytes 17/09/2010 22:18:27
    AEOFFICE.DLL : 8.1.1.8 201081 Bytes 14/08/2010 15:27:03
    AEHEUR.DLL : 8.1.2.27 2933110 Bytes 27/09/2010 14:17:31
    AEHELP.DLL : 8.1.13.4 242038 Bytes 27/09/2010 14:17:28
    AEGEN.DLL : 8.1.3.22 401780 Bytes 17/09/2010 22:18:23
    AEEMU.DLL : 8.1.2.0 393588 Bytes 20/05/2010 06:41:21
    AECORE.DLL : 8.1.17.0 196982 Bytes 27/09/2010 14:17:28
    AEBB.DLL : 8.1.1.0 53618 Bytes 20/05/2010 06:41:19
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 23/12/2009 20:17:22
    AVREP.DLL : 8.0.0.7 159784 Bytes 02/03/2010 19:15:02
    AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/12/2009 20:17:15
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 23/12/2009 20:17:15

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: bas
    Action principale.............................: réparer
    Action secondaire.............................: renommer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, E:, F:, H:, I:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen
    Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

    Début de la recherche : mardi 28 septembre 2010 07:29

    La recherche d'objets cachés commence.
    '50864' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'KHALMNPR.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'SetPoint.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'raid_tool.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPZipm12.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '30' processus ont été contrôlés avec '30' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'E:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'F:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'H:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'I:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '56' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <winxp>
    C:\Program Files\HP\Digital Imaging\ocr\hpzmsi01.exe.VIR
    [RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
    [REMARQUE] Une copie de sécurité a été créée sous le nom 4d1b8462.qua ( QUARANTAINE )
    C:\System Volume Information\_restore{C887CD8E-2392-4272-9CA9-FB0ACE405D89}\RP375\A0285564.exe.VIR
    [RESULTAT] Contient le cheval de Troie TR/Muwid.TQ
    [REMARQUE] Une copie de sécurité a été créée sous le nom 4cd3872e.qua ( QUARANTAINE )
    Recherche débutant dans 'E:\' <DISC >
    Recherche débutant dans 'F:\' <Backup>
    F:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    Recherche débutant dans 'H:\' <BACKUP2>
    Recherche débutant dans 'I:\' <Charly DD>

    Fin de la recherche : mardi 28 septembre 2010 11:18
    Temps nécessaire: 3:49:13 Heure(s)

    La recherche a été effectuée intégralement

    9026 Les répertoires ont été contrôlés
    405092 Des fichiers ont été contrôlés
    2 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    2 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    1 Impossible de contrôler des fichiers
    405089 Fichiers non infectés
    9302 Les archives ont été contrôlées
    1 Avertissements
    3 Consignes
    50864 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés

    Merci à toi encore j'attends ta réponse pour tes recommandations
    0
  10. damchag Messages postés 1105 Statut Membre 20
     
    je viens de lire ça également , je n'en sais F...... rien .
    Je crois que je vais refaire ce que tu m'as dit plus haut qu'est-ce-que tu en pense ? merci
    0
  11. damchag Messages postés 1105 Statut Membre 20
     
    je suis sur mon portable .
    Le scan dr web est entrain de s'effectuer en mode protection renforcée
    0
  12. damchag Messages postés 1105 Statut Membre 20
     
    re
    le scan est terminé. Aucun virus détecté. toutefois,
    Une fenêtre me signale que le
    " Fichier HOSTS a été modifié.
    --windows utilise le fichier HOSTS pour convertir les noms d'hôtes au format texte vers les adresses IP. La modification du fichier HOSTS peut résulter d'une activité de malware. Souhaiter restorer le fichier HOSTS à son état d'origine ?
    ---Une copie du fichierHOSTS existant sera sauvegardé vers le dossier 40 taine Dr Web"

    Vu la sauvegarde], j'ai cliqué sur NON.

    Je ne sais pas ou je peux trouver le rapport.
    Je ne peux plus cliqué sur une icône de mon bureau], l'éclairage de ce dernier est assombri et "Dr Web Curelt- Mode Protection Renforcée est inscrit sur les 4 coins de l'écran. Je peux bouger la souris mais elle m'est inutile .
    Que faire ? Merci ( je suis serein et pas du tout inquiet...promis)
    Je laisse en l'état et n'éteins pas mon ordi de bureau (je rappelle que je poste de mon portable depuis le lancement de "Dr Web". Je reste en attente jusqu'à 23h 30 car demain , rebelote 5h15.merci

    Bonjour

    pour mon ordi de bureau, je ne peux toujours rien faire
    Ma souris fonctionne
    je ne peux accéder au menu démarrer
    ni éteindre mon ordi si ce n'est, je pense, en appuyant sur le bouton de la tour (du moins je l'espère)
    Je pars au travail dans peu
    je te souhaite une bonne journée
    @++
    0
  13. damchag Messages postés 1105 Statut Membre 20
     
    re
    Désolé, je viens de rentrer plus tard que prévu. j'ai toujours dans la même position qu'indiqué dessus.J'avoue que je ne sais pas quoi faire. Dois-je rebooté mon ordi en l'éteignant par la tour. ,
    merci
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui reboote le pc en appuyant sur le bouton de la tour puis dis si le pc remarche
    0
  15. damchag Messages postés 1105 Statut Membre 20
     
    le p^c a redémarré toutefois des bruits bizarres dans la tour dans le style "tic-tac" tu sais ces deux boules accrochées à une ficelle m'ont obligé à le redémarré une nouvelle fois à l'instant.

    et là ça à l'air de fonctionné. du moins plus de bruits
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour voir

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  17. damchag Messages postés 1105 Statut Membre 20
     
    échec au téléchargement de la console de recupération ???

    je perd les pédales. Pour info j'ai tout reconnecté avant ce post et surtout aprés le message d'erreur
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as passé combofix? tu as le rapport?
    0
  19. damchag Messages postés 1105 Statut Membre 20
     
    le voilà
    ComboFix 10-09-30.01 - charly 30/09/2010 22:19:32.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1023.682 [GMT 2:00]
    Lancé depuis: c:\documents and settings\charly\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\charly\Application Data\Desktopicon

    c:\windows\system32\drivers\vidstub.sys . . . est infecté!! . . . Impossible de trouver un substitut valide.
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-28 au 2010-09-30 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-29 18:57 . 2010-09-29 18:57 -------- d-----w- c:\documents and settings\charly\DoctorWeb
    2010-09-28 23:39 . 2010-09-28 23:39 -------- d-----w- c:\documents and settings\charly\AbiSuite
    2010-09-28 20:08 . 2010-09-28 20:08 -------- d-----w- C:\_OTM
    2010-09-27 16:25 . 2010-09-27 16:26 -------- d-----w- c:\program files\CCleaner
    2010-09-27 16:23 . 2010-09-27 16:23 -------- d-----w- c:\documents and settings\charly\Application Data\vlc

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-30 17:35 . 2009-11-24 22:26 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-09-29 09:56 . 2009-10-27 20:56 -------- d-----w- c:\program files\MyDefrag v4.2.3
    2010-09-27 21:14 . 2006-09-13 08:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-09-18 23:40 . 2008-11-04 18:35 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-08-17 13:17 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
    2010-08-15 00:19 . 2004-08-05 12:00 567814 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-15 00:19 . 2004-08-05 12:00 110038 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-14 19:24 . 2010-08-14 19:24 -------- d-----w- c:\program files\Fichiers communs\Java
    2010-08-14 19:22 . 2006-09-01 16:06 -------- d-----w- c:\program files\Java
    2010-08-14 19:19 . 2010-08-14 19:19 503808 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\msvcp71.dll
    2010-08-14 19:19 . 2010-08-14 19:19 499712 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\jmc.dll
    2010-08-14 19:19 . 2010-08-14 19:19 348160 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-364851df-n\msvcr71.dll
    2010-08-14 19:19 . 2010-08-14 19:19 61440 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2c40424b-n\decora-sse.dll
    2010-08-14 19:19 . 2010-08-14 19:19 12800 ----a-w- c:\documents and settings\charly\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2c40424b-n\decora-d3d.dll
    2010-07-22 15:48 . 2004-08-05 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
    2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    2010-07-17 03:00 . 2010-05-20 09:44 423656 ----a-w- c:\windows\system32\deployJava1.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-14 39408]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
    "RaidTool"="c:\program files\VIA\RAID\raid_tool.exe" [2004-10-11 589824]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
    "BootSkin Startup Jobs"="c:\progra~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" [2004-04-26 270336]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "WLSetupSvc"=3 (0x3)
    "usnjsvc"=3 (0x3)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3728:TCP"= 3728:TCP:GIGATRIBE

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [23/12/2009 22:08 108289]
    S0 yckfdg;yckfdg;c:\windows\system32\drivers\bucech.sys --> c:\windows\system32\drivers\bucech.sys [?]
    S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" --> c:\program files\ma-config.com\maconfservice.exe [?]
    S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [28/08/2006 15:29 152576]
    S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys --> c:\windows\system32\DRIVERS\wg111v2.sys [?]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-09-30 c:\windows\Tasks\Google Software Updater.job
    - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-06-14 09:18]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://mystart.incredimail.com/
    uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
    uInternet Connection Wizard,ShellNext = iexplore
    uInternet Settings,ProxyOverride = <local>;*.local
    uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    TCP: {676C2189-629F-47D2-9643-FD8E372A24A8} = 212.27.32.176,212.27.32.177
    FF - ProfilePath - c:\documents and settings\charly\Application Data\Mozilla\Firefox\Profiles\1r3ujil3.default\
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig
    FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar_im2_test_v2&search=
    FF - plugin: c:\documents and settings\charly\Application Data\Facebook\npfbplugin_1_0_3.dll
    FF - plugin: c:\program files\Google\Google Updater\2.4.1601.7122\npCIDetect13.dll
    FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
    FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    FF - user.js: network.http.max-persistent-connections-per-server - 4
    FF - user.js: nglayout.initialpaint.delay - 600
    FF - user.js: content.notify.interval - 600000
    FF - user.js: content.max.tokenizing.time - 1800000
    FF - user.js: content.switch.threshold - 600000
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    MSConfigStartUp-avast! - c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-09-30 22:26
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86F0AA20]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf75f0f28
    \Driver\ACPI -> ACPI.sys @ 0xf744acb8
    \Driver\atapi -> 0x86f0aa20
    IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579014
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c76
    NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf72f6bb0
    PacketIndicateHandler -> NDIS.sys @ 0xf72e5a0d
    SendHandler -> NDIS.sys @ 0xf72f9b40
    Warning: possible MBR rootkit infection !
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1482476501-854245398-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    Heure de fin: 2010-09-30 22:30:32
    ComboFix-quarantined-files.txt 2010-09-30 20:30

    Avant-CF: 8 663 449 600 octets libres
    Après-CF: 8 738 574 336 octets libres

    - - End Of File - - B179301A89413F13AE7B872989AAEC02
    0
  • 1
  • 2
  • 3
  • 4
  • 5