virus avec avast recalcitrant

Question

bonjour avast me detecte un virus que je met en quarentaine puis supprime mais le virus revient avast me dit que ily a de nouveau un virus mais pas toute suite 1 heure apres ou 2h    ou un quart d'heure cela peut varie    j'ai essayer de le supprimer avec spyboot  mais pareil   merci de m'aider a bientot

Utilisateur anonyme · Answer

Bonjour

Si l'infection revient, c'est qu'il y a autre chose.
Commence par faire ceci.

1 Télécharge 
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

AVG Anti-Spyware
https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. 
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Lance le nettoyage avec CCleaner.

4 Lance Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

5 Redémarre normalement et poste le rapport d'AVG Anti-Spyware avec un rapport HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

titinnnnnnnnne · Answer

bonjour g fait ce que vous m'avez dit je vous joint  un rapport de tout merci

titinnnnnnnnne · Answer

oups les    voila   dsl   




---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	18:55:34 07/12/2006

 + Résultat de l'analyse:	



C:\Documents and Settings	otofe\Cookies	otofe@247realmedia[1].txt -> TrackingCookie.247realmedia : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@questionmarket[2].txt -> TrackingCookie.Questionmarket : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings	otofe\Cookies	otofe@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036107.dll -> Worm.Banwarum.f : Nettoyé.


Fin du rapport








et l'autre

Logfile of HijackThis v1.99.1
Scan saved at 19:07:09, on 07/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\programme\pouchintv\PouchinPG.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\programme\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/?wa=wsignin1.0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PouchinPG] D:\programme\pouchintv\PouchinPG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/cfweb_activex.camfrogweb.com-advanced_instmodule.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://totofe36110.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.51.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe





ps: puije garder  avg anti spyware avec avast n'y a t'il pas de conflit merci d'avance

Utilisateur anonyme · Answer

Re

AVG Anti-Spyware est compatible avec Avast. Il n'ont pas les mêmes utilités.
Il vient de faire un peu de nettoyage.
HijackThis est propre.

Dans quel endroit Avast trouve-t-il le fichier infecté ?

titinnnnnnnnne · Answer

re je croi qui les avait trouver dans c windows system 32 
mais maintenant il me dit plus rien

Utilisateur anonyme · Answer

OK.

On termine avec une analyse antivirus en ligne sur Kaspersky
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

titinnnnnnnnne · Answer

rapport 




 KASPERSKY ON-LINE SCANNER REPORT
 Friday, December 08, 2006 7:39:48 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.83.0
 Dernière mise à jour de la base antivirus Kaspersky :  8/12/2006
 Enregistrements dans la base antivirus Kaspersky : 235108
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\
	I:\
	J:\

Statistiques de l'analyse:
	Total d'objets analysés: 40480
	Nombre de virus trouvés: 12
	Nombre d'objets infectés: 29 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:10:20

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Cookies\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\Logs\Dfsr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\pending.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\Working\database_16A4_295F_A429_431B\dfsr.db	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\Working\database_16A4_295F_A429_431B\fsr.log	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\Working\database_16A4_295F_A429_431B\fsrtmp.log	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Messenger\chrisalorane@hotmail.fr\SharingMetadata\Working\database_16A4_295F_A429_431B	mp.edb	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Windows Live Contacts\chrisalorane@hotmail.freal\members.stg	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Application Data\Microsoft\Windows Live Contacts\chrisalorane@hotmail.fr\shadow\members.stg	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Historique\History.IE5\MSHist012006120820061209\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Temp\~DFE28E.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Temp\~DFE29A.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Temp\~DFF4B1.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Temp\~DFF4C1.tmp	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\NTUSER.DAT	L'objet est verrouillé	ignoré
C:\Documents and Settings	otofe\NTUSER.DAT.LOG	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log	L'objet est verrouillé	ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt	L'objet est verrouillé	ignoré
C:\Program Files\Calendrier\Jours.edb	L'objet est verrouillé	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0035995.exe	Infecté : Trojan-Downloader.Win32.Small.cpt	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0035996.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036004.exe	Infecté : Packed.Win32.Tibs	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036018.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036019.exe	Infecté : Email-Worm.Win32.Glowa.n	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036020.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036021.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP190\A0036110.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036184.exe	Infecté : Trojan-Downloader.Win32.Small.dam	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036185.exe	Infecté : Trojan-Downloader.Win32.Small.dam	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036186.exe	Infecté : Trojan-Proxy.Win32.Delf.ca	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036188.exe	Infecté : Trojan-Downloader.Win32.Tibs.jj	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036189.exe	Infecté : Trojan-Downloader.Win32.Small.dam	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036190.exe	Infecté : Trojan-Downloader.Win32.Small.dht	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036191.exe	Infecté : Trojan.Win32.Pakes	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036192.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036194.exe	Infecté : Trojan-Downloader.Win32.Tibs.jj	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036195.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036197.exe	Infecté : Email-Worm.Win32.Glowa.n	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036198.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036199.exe	Infecté : Trojan-Downloader.Win32.Small.cpt	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036200.exe	Infecté : Trojan-Downloader.Win32.Small.dam	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036201.exe	Infecté : Email-Worm.Win32.Banwarum.f	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036203.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP192\A0036204.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP194\change.log	L'objet est verrouillé	ignoré
C:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
C:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\dlh9jkd1q2.exe	Infecté : Packed.Win32.Tibs	ignoré
C:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\se.exe.exe	Infecté : Trojan-Downloader.Win32.Tiny.et	ignoré
C:\WINDOWS\system32\vxga4me1.exe	Infecté : Trojan.Win32.Agent.oh	ignoré
C:\WINDOWS\system32\vxga8me6.exe	Infecté : Trojan-Clicker.Win32.Costrat.e	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_67c.dat	L'objet est verrouillé	ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	L'objet est verrouillé	ignoré
C:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
C:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
D:\System Volume Information\_restore{354524B6-BDDF-4217-8B11-6A54B5A24115}\RP194\change.log	L'objet est verrouillé	ignoré

Analyse terminée.

Utilisateur anonyme · Answer

Re

Une grosse partie se trouve dans la restauration système.
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

Puis redémarrer l'ordinateur et faire l'opération inverse en décochant la case Désactiver la restauration systéme.

Pour les autres.
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/combofix.exe 

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra. 
Copie/colle ce rapport dans ta prochaine réponse

titinnnnnnnnne · Answer

totofe - 06-12-10 10:14:05,90 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Documents and Settings\totofe\Bureau"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Documents and Settings\totofe\Application Data\Install.dat

((((((((((((((((((((((((((((((( Files Created from 2006-11-10 to 2006-12-10 ))))))))))))))))))))))))))))))))))

2006-12-08 14:14 <REP> dr-h----- C:\Documents and Settings\totofe\Recent
2006-12-07 22:47 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2006-12-07 20:36 <REP> d-------- C:\WINDOWS\LastGood
2006-12-07 20:36 <REP> d-------- C:\Program Files\MSN Messenger
2006-12-07 17:24 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-12-07 17:24 <REP> d-------- C:\Program Files\Grisoft
2006-12-07 17:21 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2006-12-07 16:46 <REP> d-------- C:\WINDOWS\Minidump
2006-12-07 15:45 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2006-12-07 15:29 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-12-07 15:29 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-12-07 15:29 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-12-07 00:31 72,192 --a------ C:\WINDOWS\system32\vxga8me6.exe
2006-12-07 00:19 30,208 --a------ C:\WINDOWS\system32\vxga5me3.exe
2006-12-07 00:17 6,199 --a------ C:\WINDOWS\system32\se.exe.exe
2006-12-07 00:17 18,861 --a------ C:\WINDOWS\system32\dlh9jkd1q2.exe
2006-12-07 00:17 16,896 --a------ C:\WINDOWS\system32\vxga4me1.exe
2006-12-07 00:16 16 --a------ C:\WINDOWS\system32\dlh9jkd1q8.exe
2006-12-03 19:48 <REP> d-------- C:\Program Files\Fichiers communs\xing shared
2006-11-29 17:33 <REP> d-------- C:\Program Files\Microsoft Visual Studio
2006-11-27 16:20 61,440 --------- C:\WINDOWS\ov530dib.dll
2006-11-27 16:20 40,960 --------- C:\WINDOWS\system32\ov530ext.dll
2006-11-27 16:20 25,177 --------- C:\WINDOWS\system32\drivers\ov530cmd.sys
2006-11-27 16:20 161,792 --------- C:\WINDOWS\system32\drivers\ov530vid.sys
2006-11-27 16:01 16,440 --------- C:\WINDOWS\system32\ov530usd.dll
2006-11-27 16:01 <REP> d-------- C:\WINDOWS\OvtCam
2006-11-26 23:32 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2006-11-26 23:32 249,856 --------- C:\WINDOWS\Setup1.exe
2006-11-26 23:32 <REP> d-------- C:\Program Files\Chronometre

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red][b]Rootkit driver pe386 is present. A rootkit scan is required[/b][/color]

2006-12-07 20:36 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-12-07 15:57 -------- d-------- C:\Program Files\Internet Explorer
2006-12-07 15:57 -------- d-------- C:\Program Files\Google
2006-12-07 15:56 -------- d-------- C:\Program Files\Calendrier
2006-12-07 15:44 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-12-07 00:34 -------- d-------- C:\Program Files\eMule
2006-12-03 19:49 -------- d-------- C:\Documents and Settings\totofe\Application Data\Real
2006-12-03 19:48 -------- d-------- C:\Program Files\Fichiers communs\Real
2006-12-03 19:48 -------- d-------- C:\Program Files\Fichiers communs
2006-11-29 17:34 -------- d---s---- C:\Documents and Settings\totofe\Application Data\Microsoft
2006-11-27 16:00 -------- d-------- C:\Program Files\HardwareDetection
2006-11-26 23:33 -------- d-------- C:\Program Files\Fichiers communs\Designer
2006-11-05 21:26 -------- d-------- C:\Program Files\WinZip
2006-11-05 21:26 -------- d-------- C:\Program Files\WinRAR
2006-10-30 16:35 -------- d-------- C:\Program Files\Windows Media Player
2006-10-30 16:00 -------- d-------- C:\Documents and Settings\totofe\Application Data\DivX
2006-10-30 15:40 -------- d-------- C:\Program Files\DivX
2006-10-30 15:07 -------- d-------- C:\Documents and Settings\totofe\Application Data\Ulead Systems
2006-10-30 13:55 -------- d-------- C:\Program Files\TerraTec
2006-10-30 13:55 -------- d-------- C:\Program Files\Fichiers communs\TerraTec
2006-10-30 13:55 -------- d-------- C:\Documents and Settings\totofe\Application Data\TerraTec
2006-10-28 08:48 -------- d-------- C:\Program Files\Fichiers communs\FotoNation
2006-10-27 10:57 -------- d-------- C:\Program Files\vtplus
2006-10-13 18:36 -------- d-------- C:\Program Files\Real
2006-10-11 17:07 -------- d-------- C:\Program Files\Adobe
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-10-02 20:04 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-10-02 20:04 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-10-02 20:04 635486 --a------ C:\WINDOWS\system32\DivX.dll
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-15 22:46 81920 --a------ C:\WINDOWS\system32\OpenAL32.dll
2006-09-15 22:46 233472 --a------ C:\WINDOWS\system32\wrap_oal.dll
2006-09-15 22:34 1607184 --a------ C:\WINDOWS\system32\Aquarium Exotique.scr
2006-09-15 15:39 208896 --a------ C:\WINDOWS\system32\NVUNINST.EXE

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"Cld2000.exe"="C:\\Program Files\\Calendrier\\Cld2000.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"AliceSAV"="C:\\Program Files\\TechCity Solutions\\AliceSAV\\AliceAgent.exe"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"PouchinPG"="D:\\programme\\pouchintv\\PouchinPG.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e0,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=dword:00000002
"wscsvc"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\PgStart__01_nov__09h13.job
C:\WINDOWS\tasks\PgStart__01_nov__09h14.job
C:\WINDOWS\tasks\PgStart__06_dec__06h55.job
C:\WINDOWS\tasks\PgStart__22_nov__06h09.job
C:\WINDOWS\tasks\PgStart__22_nov__06h13.job
C:\WINDOWS\tasks\PgStart__22_nov__06h17.job
C:\WINDOWS\tasks\PgStart__22_nov__06h19.job
C:\WINDOWS\tasks\PgStart__22_nov__07h00.job
C:\WINDOWS\tasks\PgStart__22_nov__07h09.job
C:\WINDOWS\tasks\PgStart__23_nov__07h09.job
C:\WINDOWS\tasks\PgStart__23_nov__16h42.job
C:\WINDOWS\tasks\PgStart__23_nov__16h45.job
C:\WINDOWS\tasks\PgStart__24_nov__20h16.job
C:\WINDOWS\tasks\PgStart__24_nov__20h55.job
C:\WINDOWS\tasks\PgStart__25_nov__08h16.job
C:\WINDOWS\tasks\PgStart__26_nov__07h44.job
C:\WINDOWS\tasks\PgStart__30_nov__06h50.job
C:\WINDOWS\tasks\PgStart__30_oct__21h24.job
C:\WINDOWS\tasks\PgStart__30_oct__21h29.job
C:\WINDOWS\tasks\PgStart__30_oct__21h31.job
C:\WINDOWS\tasks\PgStart__31_oct__14h59.job
C:\WINDOWS\tasks\PgStart__31_oct__15h13.job
C:\WINDOWS\tasks\PgStop__01_nov__09h14.job
C:\WINDOWS\tasks\PgStop__01_nov__09h15.job
C:\WINDOWS\tasks\PgStop__06_dec__08h55.job
C:\WINDOWS\tasks\PgStop__22_nov__06h11.job
C:\WINDOWS\tasks\PgStop__22_nov__06h15.job
C:\WINDOWS\tasks\PgStop__22_nov__06h18.job
C:\WINDOWS\tasks\PgStop__22_nov__06h20.job
C:\WINDOWS\tasks\PgStop__22_nov__07h30.job
C:\WINDOWS\tasks\PgStop__22_nov__08h45.job
C:\WINDOWS\tasks\PgStop__23_nov__07h30.job
C:\WINDOWS\tasks\PgStop__23_nov__16h43.job
C:\WINDOWS\tasks\PgStop__23_nov__16h46.job
C:\WINDOWS\tasks\PgStop__24_nov__20h45.job
C:\WINDOWS\tasks\PgStop__24_nov__21h55.job
C:\WINDOWS\tasks\PgStop__25_nov__09h16.job
C:\WINDOWS\tasks\PgStop__26_nov__08h44.job
C:\WINDOWS\tasks\PgStop__30_nov__08h30.job
C:\WINDOWS\tasks\PgStop__30_oct__21h25.job
C:\WINDOWS\tasks\PgStop__30_oct__21h33.job
C:\WINDOWS\tasks\PgStop__31_oct__15h00.job
C:\WINDOWS\tasks\PgStop__31_oct__15h15.job

Completion time: 06-12-10 10:15:15.92
C:\ComboFix.txt ... 06-12-10 10:15

Utilisateur anonyme · Answer

Bonjour

Il manque le rapport HijackThis.
Mais avant de le poster, fais ceci ,car Combofix révele un rootkit.

Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.

titinnnnnnnnne · Answer

************************* Rustock.b-fix -- By ejvindh *************************
10/12/2006 22:11:54,96


******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....
Examine the Avenger-logfile in order to assess the success of the unload-procedure

Rustock.b-ADS attached to the System32-folder:
  :lzx32.sys                              66088
Total size: 66088 bytes.
Attempting to remove ADS...
system32: deleted 66088 bytes in 1 streams.


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No streams found.


******************************* End of Logfile ********************************




Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pxmoache

*******************

Script file located at: \??\C:\WINDOWS\system32\ojffoesu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.




Logfile of HijackThis v1.99.1
Scan saved at 22:21:15, on 10/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\programme\pouchintv\PouchinPG.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\programme\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/?wa=wsignin1.0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PouchinPG] D:\programme\pouchintv\PouchinPG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/cfweb_activex.camfrogweb.com-advanced_instmodule.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://totofe36110.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A1F2F2CE-06AF-483C-9F12-D3BAA72477D6} (BatchDownloader Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/DigWXMSN.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.1.0.51.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Utilisateur anonyme · Answer

Bonjour

Le rootkit est out.

Télécharge la dernière version de Killbox -> http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît.

- redémarre l'ordinateur en mode sans échec

- lance Pocket Killbox
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system32\dlh9jkd1q2.exe 
C:\WINDOWS\system32\se.exe.exe 
C:\WINDOWS\system32\vxga4me1.exe
C:\WINDOWS\system32\vxga8me6.exe 
* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même.


As tu encore des dysfonctionnements ?

Virus avec avast recalcitrant

12 réponses

Votre réponse

Discussions similaires

Newsletters