Au secours ! Les virus font la teuf chez moi

gail_12 -  
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   -
AU SECOOOUUURS ! ... Les virus font une teuf chez moi ...

Bonjour,

Merci par avance à ceux qui voudront bien m'aider.

J'ai un PC un peu âgé (hors garantie) et physiquement assez malade (plus de lecteur CD) sous Windows XP.
Je ne suis connectée à internet que depuis une semaine et, depuis 2 jours (le 7/08), j'ai une floppée de virus qui s'amusent à qui mieux mieux et me font péter les plombs.

Quand j'efface/je tue des process/fichiers/dll/etc. qui sont clairement << pas clairs >>, leurs copains reviennent 10 fois plus vite ...

Avant de me << lancer >> sur Internet, j'avais fais une double sauvegarde de mes données sur un disque externe qui commence lui aussi à être infecté :
- 1) par Norton Ghost, mais je ne peux pas faire une restauration puisqu'il faut booter sur CD
- 2) un copy-paste un peu crade des 2 disques C: et D:, ça me permet de vérifier les << pas clairs >> de plus haut
et j'avais installé Norton Anti-Virus, mais je ne l'avais ni activé (j'avais 15 jours pour le faire), ni mis à jour.

Je soupçonne qu'un virus s'est attaqué à lui (ou alors je suis parano), car, au bout du 6ème jour, il a expiré et je n'arrive plus à l'activer (à moins q ce soit parce que maintenant je suis en Mode Sans Echec avec réseau). Donc, comme il faisait apparemment un peu office de FireWall, je n'ai plus de FireWall.

Depuis, j'ai installé AVast (le 7/08), mais, comme le système était déjà infecté, il ne pourra me créer de VRDB comme référence et, quand je lui demande de réparer un fichier, JAMAIS il n'y arrive. En plus, il semble qu'il y ait un problème avec la config de la Zone de Quarantaine (ou alors, c'est parce que je suis en Mode Sans Echec).

J'ai essayé de corriger des trucs avec HijackThis.exe, mais, maintenant il ne marche plus, je vais le retélécharger en le renommant.

Quelques-uns des symptômes, mais je vais en oublier :
o Au début, au démarrage, le Bureau ne s'affichait pas et explorer.exe prenait toute la CPU, je le killais et le démarrage pouvait continuer ; soit maintenant le problème est réglé, soit, comme je suis en mode sans échec, ça n'apparaît plus.
o J'ai eu aussi un reboot forcé par quelque chose comme << NT_AUTHORITY\SYSTEM >>. Maintenant, j'utilise << shutdown -a >>.
o Après, à chaque fois que je redémarrais, au bout de 3-4 minutes (ça laisse pas beaucoup de temps pour faire grand chose), j'avais un écran bleu ; depuis je ne redémarre plus que en Mode Sans Echec (avec réseau).
o Plus de son et des bips bizarres de temps en temps : je soupçonne delsim.
o Des dll avec des noms bizarres : lettres redoublées, des process avec des noms bizarres (ils contiennent un caractère qui ne fait pas partie de l'alphabet du genre un << y >> avec une double barre horizontale. Quand je les kill ou les supprime, d'autres apparaissent ; parfois, ils disparaissent trop vite d'eux-mêmes.
o Il me bouffe une grosse partie de ce qui me restait de libre sur C:.
o Autres ...

J'ai fait des recherches sur le web sur la description des virus, mais rien ne me correspond complètement et je ne trouve pas de Fix adapté (ou alors je n'ai pas vu que c'était ce que je cherchais).

Virus recensés :
- par AVast :
o principalement Win32:Sality-AB : apparemment, il modifie tous les exe et leur rajoute du code qui fait une taille fixe (quelque chose comme 50 Ko, je crois) et je ne peux pas mettre tous mes *. exe en quarantaine (et je ne crois pas qu'elle marche) ; je pourrais recopier les *.exe qui se trouvent sur mes sauvegardes, mais je pense que j'irais moins vite que le virus et que, dans certains cas, je n'aurais pas les droits et que le virus pourra ainsi continuer à se propager ; en plus, le 1er jour, j'avais 900 fichiers infectés (à 99 % sur C:), le 2ème, 1700 fichiers infectés (99 % sur C: et D:), mais il commençait déjà à infecter mon disque dur externe (F:).
o Win32:Poebot-I [Trj]
o Win32:Agent-JOH [Trj]
o Win32:Agent-FSP [Trj]
o Win32:Conhook-AV [Trj]
o Win32:Rbot-DRE [Wrm] : lui, je l'ai trouvé nulle part répertorié.
o Un fichier C:\a.exe qui est un copie de delsim.exe que j'efface et qui réapparaît.

Me conseillez-vous de télécharger et d'installer Zone Alarm ? Je sens que la réponse va être oui.

Que dois-je faire ?

Si quelqu'un pouvait me proposer des scripts shell (c'est plus rapide quand j'essaye d'effacer les trucs à la main), j'ai une vieille version de cygwin.

J'ai dû oublier des problèmes/questions, je complèterais.

Merci encore par avance.
A voir également:

105 réponses

Réponse 1 / 105
Bouli42 Messages postés 394 Date d'inscription   Statut Membre Dernière intervention   114
 
hum ce n'est qu 'un post je suis sur que c'est un faux !! lol
2
Réponse 2 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Ajout.
Autre symptôme :
o J'avais un lssas.exe ds C:\WINDOWS\system32 (je ne parle pas du lsass.exe qui me semble authentique) qui tournait, j'arrivais pas à savoir si c'était un virus ou pas, mais soit il a disparu, soit je m'en suis quand même débarrassée.

Nouveau symptôme qui vient d'apparaître :
o Je peux faire un << Copier >>, mais après le << Coller >> ne marche pas !!! ...

Pour les coups de marteaux, mon PC (portable) est très malade et, quand le ventilo se bloque, il travaille aussi vite qu'un escargot et j'utilise pas le marteau, mais mon poing pour redémarrer le ventilo, mais ça commence à ne plus être très efficace et moi, j'ai mal à la main !...

SVP, ne me dîtes pas :
1) de passer à Linux : je passerais à Linux quand ce problème sera réglé, mais je malheureusement garderai quand même Windows
2) de réinstaller : sans lecteur CD, c'est pas possible et, en plus, les CD fournis, si jamais, je les ai encore, je ne mettrai pas la main dessus et je ne pourrais non plus réinstaller tous les autres logiciels.

Merci.
0
Réponse 3 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut gail_12,

desinstale norton comme ceci :

Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

desinstale avast

telecharge et instale antivir

http://forum.malekal.com/ftopic4192.php

sur ce lien tout en bas de la page tu as : Abandonner Avast! pour Antivir

click dessus et suie les instructions de malekal morte

antivir :

https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html

telecharge et instale kerio :

kerio 4.2.

https://kerio.probb.fr/t1-tuto-pour-kerio-4-2


en suite

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

et fais un scan en mode sans echec avec antivir

post les rapports de sd fix et celui de antivir

ainsi qu´un hijack this :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

bon courrage

@+
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Merci moK's@ pour cette réponse et ces procédures.

Je vais faire tout ça, mais j'ai quelques questions/remarques :
- La désintall de Norton que tu me proposes ne désinstalle pas Ghost ??? (je n'ai pas encore été voir le lien, parce que je sens qu'en background, il y a plein de trucs qui continuent à se dégrader ...)
- Pour antivir, à chaque fois que j'ai essayé hier et aujourd'hui d'aller sur le site << malekal >>, j'arrivais pas à loader les pages, donc je ne sais pas si j'y arriverais ...
- Pour le FireWall, j'ai noté Kerio.
- Pour SDFix.exe, je l'ai déjà un peu utilisé, mais peut-être pas en suivant EXACTEMENT tes instructions, est-ce que je poste déjà le report.txt (il n'y avait pas grand chose dedans) ?
- Pour HijackThis, je vais donc recommencer.

Je reste en Mode Sans Echec EN RESEAU ???, vu que je ne peux plus copier-coller cette page, que apparemment je ne peux pas la sauvegarder non plus et que je n'ai pas d'imprimante ???

Merci encore (je me sens un tout petit peu moins désespérée ...).
0
Réponse 4 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
bon si j'ai bien compris tu ne peux pas copier coller?

ca va etre difficile de voir les rapports...

telecharge antivir ici :
http://www.commentcamarche.net/download/telecharger-55-antivir

je ne crois pas que le desinstalateur desinstale norton ghost, mais je ne suis pas certain alors laisse ca pour plus tard...

reste en mode sans echec si tu arrive a telecharger...

* Télécharge combofix.exe (par sUBs) sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

* Double clique combofix.exe.
* Tape sur la touche 1 (Yes) pour démarrer le scan.
* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.


NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et

passe ce scan

* télécharge AVG Anti-Spyware (ewido)

https://www.avg.com/en-ww/free-antivirus-download
http://www.infos-du-net.com/telecharger/Ewido-Security-Suite,0301-734.html
* tu l'installes

* lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente
si tu n'arrives pas à le mettre à jour prends ici les màj
http://downloads.ewido.net/avgas-signatures-full-current.exe

Sur la page "analyse":
*- tu choisis d'abord l'onglet "paramètres".
- sous « Comment réagir » clic sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer »

Copie Et colle le rapport ici

Ps : une fois le scan terminé tu supprime bien tout ce qu'il a trouvé.

1>tu le mets a jour > click sur l'onglet mis a jour puis commencer la mise a jour.
2>tu click sur l'onglet analyse puis sur le sous onglet parametre >comment reagir tu click sur ce que tu voie en dessous en bleu et tu regle sur supprimer.
3>a droite "rapports" tu coche la case "généré un rapport a chaque analyse.

puis tu lance l'analyse tu click sur le sous onglet analyse puis analyse complete du systeme


a la fin tu post le rapport

dis moi si ca va mieux apres ca

@+

J'veux bien; et toi???
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
moK´s@ :
bon si j´ai bien compris tu ne peux pas copier coller?

ca va etre difficile de voir les rapports...

=> Effectivement, j'y avais pas pensé ... En tout cas, pour le moment, c'est revenu, mais je ne sais pas jusqu'à quand ... Sinon, je me débrouillerai pour recopier le principal ...

moK´s@ :
je ne crois pas que le desinstalateur desinstale norton ghost, mais je ne suis pas certain alors laisse ca pour plus tard...

=> En effet, j'ai été regarder et il désinstalle tous les produits Norton ; comme je me garde la possibilité d'utiliser Ghost pour récupérer des fichiers un par un, je préfère éviter. Mais sinon, ça ne me dérange pas de désinstaller Norton AntiVirus uniquement si c'est possible, surtout qu'il a tendance à entrer en conflit avec AVast et, si c'est la même chose avec antivir, ... !

Pour antivir : je suis pas encore allée le chercher, parce que Internet Explorer faisait rien de ce que je lui demandais.

En attendant, comme j'avais déjà récupéré ComboFix et que je l'avais déjà lancé et que j'avais jamais trouvé le rapport, je l'ai réessayé. Voilà ce qui c'est passé :
1) Je lance ComboFix
2) Il me tue l'explorer.exe, je l'ai laissé faire
3) J'ai à nouveau un pop-up de quelque chose comme << NT_AUTHORITY\SYSTEM >>, donc je fais 2 fois shutdown -a.
4) ComboFix ouvre une nouvelle fenêtre, puis me demande : 
Please allow ComboFix to reboot your machine.
. Je ne savais pas trop quoi faire ...
5) ComboFix m'envoie un pop-up : 
Unable to create a backup of the current registry file C:\WINDOWS\system32\Config\SOFTWARE !
Continue restoration of the file ?
J'ai répondu Oui dans le doute.
Et lui me répond : 
Error restoring C:\WINDOWS\erdnt\subs\SOFTWARE !
Continue with the next file

6) Après j'ai eu à nouveau 2 pop-up, mais pour le fichier SYTEM.
7) ComboFix a redémarré, mais j'ai pas eu le temps de sélectionner le Mode Sans Echec, donc j'ai redémarré en mode normal :
o J'avais une fenêtre de ComboFix qui disait qu'il était en train de faire le rapport et de ne lancer aucun processus pendant ce temps-là.
o Mais j'ai eu en même temps les autres processus (lancés au démarrage) qui démarraient de leur côté.
o Et, en plus, j'ai eu droit à un pop-up d'erreur de lsass.exe qui essayait d'écrire à l'adresse mémoire "0x00000000" qui ne pouvait être << written >>.
o Enfin, au bout de 3 minutes, écran bleu alors que ComboFix n'avait sûrement pas fini, puis ScanDisk et, à nouveau, je n'ai pas pu sélectionner le Mode Sans Echec.
o Donc rebelote : Un explorer.exe qui prend toute la CPU, ne fout rien et n'affiche pas le bureau. Puis nouvel écran bleu.
o Cette fois-ci, j'ai réussi à redémarrer en Mode Sans Echec, mais j'avais juste un écran noir et, quand j'ai voulu lancer explorer.exe, ça a pas marché du 1er coup et j'ai bien flippé, mais ça semble rétabli (pour le moment !).

ComboFix m'a créé un rapoprt qui date d'avant le 1er écran bleu du 7) plus haut. Est-ce que ça vaut le coup que je le poste ou je recommence ComboFix après avoir fait la 1ère étape (i.e. antivir) ???
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
bon c´est pas la joie,

en tout cas tu es tres claire dans tes explications, c´est rare ;-)

peux tu passer avg et poster le rapport, il devrait faire un peu le ménage deja...

@+
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Je confirme : c'est pas la joie !
1) ComboFix m'avait dit qu'il changeait la date du système temporairement, mais, comme on l'a pas laissé finir son boulot, maintenant, c'est affiché à la mode américaine : Beurk ! Mais, encore, c'est pas mortel (même si vraiment j'aime pas du tout).
2) En attendant, je viens de télécharger antivir.
Par contre, pour l'install, petit problème puisqu'il décompresse automatiquement ds C:\, disque q les virus s'amusent à remplir comme des petits fous ...
Et maintenant, il est complètement plein !!! ...

moK´s@ :
en tout cas tu es tres claire dans tes explications, c´est rare ;-)

=> Je raconte toute ma vie, je sais, mais c'est pour permettre d'identifier le virus et ses activités et pour que ça puisse servir à d'autres ...
En plus, si je demande de l'aide, c'est un peu le minimum que moi, je fasse mon maximum ...

Le problème de disque plein reste et, comme je l'avais pas téléchargé avant de poster ici, je ne suis même pas sûre de l'avoir complet ! Je vais recommencer avec NetTransport, peut-être qu'il n'utilisera pas C: pendant le téléchargement.
+ Si jamais il y avait une adresse où on peut le télécharger, mais avec une install différente (genre on décompresse soi-même), sauf que WinRar utilise aussi C:, mais peut-être que ça, ça se change.

Donc est-ce que :
1) Je continue à essayer d'installer antivir ??
2) J'essaie d'installer AVG que j'avais déjà récupéré (bien que je risque d'avoir les mêmes problèmes) ??
3) Je poste le rapport peut-être ps terminé de ComboFix.txt ??

En attendant, je vais faire le 3), mais dans un autre post (par souci de lisibilité).

Et, non, je recherche pas un antivirus payant et, perso, j'aimais pas beaucoup l'interface de AVast.
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3 > gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention  
 
Le rapport de ComboFix.txt dont je parlais dans le post n° 6. 
ComboFix 07-08-09.3 - "XXX" 2007-08-09 20:44:50.1 - [color=red][b]FAT32[/b][/color]x86 NETWORK


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\XANTOP~1\APPLIC~1\..\err.log
C:\WINDOWS\system32\byxursq.dll
C:\WINDOWS\system32\cohjkvaa.dll
C:\WINDOWS\system32\ddccbbx.dll
C:\WINDOWS\system32\ddcccdd.dll
C:\WINDOWS\system32\ddcyaxx.dll
C:\WINDOWS\system32\djmqiomk.dll
C:\WINDOWS\system32\dmcENU.dll
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\efcby.exe
C:\WINDOWS\system32\egjjl.bak1
C:\WINDOWS\system32\egjjl.bak2
C:\WINDOWS\system32\egjjl.ini
C:\WINDOWS\system32\egjjl.tmp
C:\WINDOWS\system32\gebbcyy.dll
C:\WINDOWS\system32\gebcabx.dll
C:\WINDOWS\system32\hgghfgf.dll
C:\windows\system32\iexplore.exe
C:\WINDOWS\system32\ljjge.dll
C:\WINDOWS\system32\llvrnmru.dll
C:\WINDOWS\system32\mljjghg.dll
C:\WINDOWS\system32\mljjkih.dll
C:\WINDOWS\system32\mljkkji.dll
C:\WINDOWS\system32\pmnmnop.dll
C:\WINDOWS\system32\qdaqyvgr.ini
C:\WINDOWS\system32\raclrwpm.dll
C:\WINDOWS\system32\rgvyqadq.dll
C:\WINDOWS\system32\ssqropn.dll
C:\WINDOWS\system32\tuvwwwv.dll
C:\WINDOWS\system32\uhguojkt.dll
C:\WINDOWS\system32\urmnrvll.ini
C:\WINDOWS\system32\urqoono.dll
C:\WINDOWS\system32\waveohby.dll
C:\WINDOWS\system32\yayxxwv.dll


(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\LEGACY_NTIO256
-------\LEGACY_XPDX
-------\DomainService
-------\nm


(((((((((((((((((((((((((   Files Created from 2007-07-09 to 2007-08-09  )))))))))))))))))))))))))))))))


2007-08-09 20:52	8,760	--ah-----	C:\WINDOWS\system32\apeak.exe
2007-08-09 20:52	23,552	--a------	C:\WINDOWS\system32\wmimgr32.dll
2007-08-09 20:52	1,327	--a------	C:\DOCUME~1\XANTOP~1\clean.reg
2007-08-09 20:50	5,044	--ah-----	C:\WINDOWS\system32\mbjnbhi.exe
2007-08-09 20:50	18,184	--ah-----	C:\WINDOWS\system32\clghdu.exe
2007-08-09 20:50	0	--ah-----	C:\WINDOWS\system32\bmjqazmr.exe
2007-08-09 20:48	65,536	--a------	C:\WINDOWS\system32\zxhwdrie.exe
2007-08-09 20:48	<REP>	d--h-----	C:\Program Files\Fichiers communs\delsim
2007-08-09 20:46	58,860	--ah-----	C:\WINDOWS\system32\ltzrhijv.exe
2007-08-09 20:44	656,384	--a------	C:\WINDOWS\system32\qxv.exe
2007-08-09 20:44	65,400	--ah-----	C:\WINDOWS\system32\hpbbwmc.exe
2007-08-09 20:44	30,132	--ah-----	C:\WINDOWS\system32\mmgz.exe
2007-08-09 20:43	51,712	--ah-----	C:\WINDOWS\system32\cddn.exe
2007-08-09 20:42	19,644	--ah-----	C:\WINDOWS\system32\dgnxjf.exe
2007-08-09 20:37	69,120	--ah-----	C:\WINDOWS\system32\pkyjhnm.exe
2007-08-09 20:33	86,528	--ah-----	C:\WINDOWS\system32\tdht.exe
2007-08-09 20:33	68,474	--ah-----	C:\WINDOWS\system32\etmwfp.exe
2007-08-09 20:32	53,248	--ah-----	C:\WINDOWS\system32\qsvqinuy.exe
2007-08-09 20:30	69,860	--ah-----	C:\WINDOWS\system32\zpwlrjdc.exe
2007-08-09 20:30	20,440	--ah-----	C:\WINDOWS\system32\nbdkvlkd.exe
2007-08-09 20:28	69,120	--ah-----	C:\WINDOWS\system32\cpvhz.exe
2007-08-09 20:28	34,568	--ah-----	C:\WINDOWS\system32\aosq.exe
2007-08-09 20:27	25,088	--ah-----	C:\WINDOWS\system32\ekbvg.exe
2007-08-09 20:21	69,860	--ah-----	C:\WINDOWS\system32\ogklf.exe
2007-08-09 20:10	38,912	-r-hs----	C:\WINDOWS\system32\dllcache\ivchost.exe
2007-08-09 20:10	38,912	--a------	C:\WINDOWS\system32\ne1.exe
2007-08-09 20:07	20,992	--ah-----	C:\WINDOWS\system32\lglkfb.exe
2007-08-09 19:41	63,336	--ah-----	C:\WINDOWS\system32\bgvknmcg.exe
2007-08-09 19:41	143,360	--ah-----	C:\WINDOWS\system32\tfwdya.exe
2007-08-09 19:39	103,936	--ah-----	C:\WINDOWS\system32\tpyq.exe
2007-08-09 19:35	56,756	--ah-----	C:\WINDOWS\system32\kpdwigd.exe
2007-08-09 19:30	9,728	--ah-----	C:\WINDOWS\system32\zusmghl.exe
2007-08-09 19:18	1,972	--ah-----	C:\WINDOWS\system32\gidum.exe
2007-08-09 19:06	4,380	--ah-----	C:\WINDOWS\system32\bsqqdbys.exe
2007-08-09 19:03	545,280	--a------	C:\WINDOWS\system32\win53861.dll
2007-08-09 19:03	39,936	--a------	C:\WINDOWS\system32\winresponse32.exe
2007-08-09 19:02	124,416	--a------	C:\WINDOWS\system32\gilsoh.exe
2007-08-09 19:01	75,328	--a------	C:\WINDOWS\system32\ohqmjojc.exe
2007-08-09 19:00	163,840	--ah-----	C:\WINDOWS\system32\qeofrep.exe
2007-08-09 18:59	23,360	--ah-----	C:\WINDOWS\system32\nicmie.exe
2007-08-09 18:59	0	--ah-----	C:\WINDOWS\system32\wbrzx.exe
2007-08-09 18:57	32,120	--ah-----	C:\WINDOWS\system32\asrg.exe
2007-08-09 18:57	21,900	--ah-----	C:\WINDOWS\system32\uvlvdev.exe
2007-08-09 18:57	11,680	--ah-----	C:\WINDOWS\system32\iroft.exe
2007-08-09 18:52	34,304	--ah-----	C:\WINDOWS\system32\okqjrba.exe
2007-08-09 18:47	19,568	--ah-----	C:\WINDOWS\system32\xkytkn.exe
2007-08-09 18:45	20,952	--ah-----	C:\WINDOWS\system32\xcle.exe
2007-08-09 18:43	25,484	--ah-----	C:\WINDOWS\system32\uotjf.exe
2007-08-09 18:38	50,460	--ah-----	C:\WINDOWS\system32\oqkjpgkw.exe
2007-08-09 18:23	27,740	--ah-----	C:\WINDOWS\system32\khzuf.exe
2007-08-09 18:21	22,488	--ah-----	C:\WINDOWS\system32\jcswcm.exe
2007-08-09 18:17	2,920	--ah-----	C:\WINDOWS\system32\bretn.exe
2007-08-09 18:13	6,352	--ah-----	C:\WINDOWS\system32\trphkp.exe
2007-08-09 18:12	25,524	--ah-----	C:\WINDOWS\system32\rljaudue.exe
2007-08-09 18:10	37,088	--ah-----	C:\WINDOWS\system32\fkraji.exe
2007-08-09 18:08	38,472	--ah-----	C:\WINDOWS\system32\gkgr.exe
2007-08-09 18:07	26,062	--ah-----	C:\WINDOWS\system32\hbtpvyre.exe
2007-08-09 18:06	93,104	--ah-----	C:\WINDOWS\system32\mfhlt.exe
2007-08-09 18:04	26,138	--ah-----	C:\WINDOWS\system32\rcxivhuo.exe
2007-08-09 18:00	43,800	--ah-----	C:\WINDOWS\system32\gpbnrxxu.exe
2007-08-09 17:41	<REP>	d--------	C:\WINDOWS\ERUNT
2007-08-09 17:12	4,512	--a------	C:\WINDOWS\system32\tmp.reg
2007-08-09 15:58	656,384	-r-hs----	C:\WINDOWS\SCardClnt.exe
2007-08-09 15:04	545,280	---------	C:\WINDOWS\system32\win51773.dll
2007-08-09 04:58	51,200	--a------	C:\WINDOWS\nircmd.exe
2007-08-09 04:01	545,280	--a------	C:\WINDOWS\system32\win7711.dll
2007-08-08 23:14	75,328	--a------	C:\WINDOWS\system32\cfjhjbhx.exe
2007-08-08 22:10	<REP>	d--hs----	C:\FOUND.002
2007-08-08 21:45	<REP>	d--hs----	C:\FOUND.001
2007-08-08 21:35	<REP>	d--hs----	C:\FOUND.000
2007-08-08 16:13	95,608	--a------	C:\WINDOWS\system32\AvastSS.scr
2007-08-08 16:13	42,912	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2007-08-08 16:13	26,624	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-08 16:13	23,152	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2007-08-08 16:12	94,416	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2007-08-08 16:12	92,848	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2007-08-08 16:12	783,224	--a------	C:\WINDOWS\system32\aswBoot.exe
2007-08-07 21:43	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\Error Safe Free
2007-08-07 21:38	<REP>	d--------	C:\Program Files\ErrorSafe Free
2007-08-07 20:26	<REP>	d--------	C:\WINDOWS\backup
2007-08-07 20:25	<REP>	d--------	C:\WINDOWS\report
2007-08-07 20:23	86,094	--a------	C:\WINDOWS\BPMNT.dll
2007-08-07 20:23	71,749	--a------	C:\WINDOWS\hcextoutput.dll
2007-08-07 20:23	288,256	--a------	C:\WINDOWS\tsc.exe
2007-08-07 20:23	1,163,344	--a------	C:\WINDOWS\vsapi32.dll
2007-08-07 20:23	<REP>	d--------	C:\WINDOWS\AU_Backup
2007-08-07 20:22	<REP>	d--------	C:\WINDOWS\AU_Temp
2007-08-07 20:22	<REP>	d--------	C:\WINDOWS\AU_Log
2007-08-07 20:21	69,689	--a------	C:\WINDOWS\UNZIP.DLL
2007-08-07 20:21	507,904	--a------	C:\WINDOWS\TMUPDATE.DLL
2007-08-07 20:21	307,200	--a------	C:\WINDOWS\PATCH.EXE
2007-08-07 18:37	534,016	-r-hs----	C:\WINDOWS\wuauapl.exe
2007-08-07 15:41	69,860	--ah-----	C:\WINDOWS\system32\txoszd.exe
2007-08-07 15:41	69,860	--ah-----	C:\WINDOWS\system32\oglawzz.exe
2007-08-07 15:38	69,860	--ah-----	C:\WINDOWS\system32\vdxkjyhj.exe
2007-08-07 15:38	69,860	--ah-----	C:\WINDOWS\system32\ptrg.exe
2007-08-07 15:38	129,051	--ah-----	C:\WINDOWS\system32\kudtbk.exe
2007-08-07 15:37	124,438	--ah-----	C:\WINDOWS\system32\owrqmq.exe
2007-08-07 15:36	133,117	--ah-----	C:\WINDOWS\system32\rmalvvz.exe
2007-08-07 15:35	27,367	--a------	C:\WINDOWS\system32\axxcek.exe


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-02 19:31	64052	--a------	C:\WINDOWS\system32\perfc00C.dat
2007-08-02 19:31	445672	--a------	C:\WINDOWS\system32\perfh00C.dat
2007-08-02 10:47	51733	--a------	C:\WINDOWS\system32\nvsloader.dat
2005-05-25 07:50	27352	--a------	C:\DOCUME~1\XANTOP~1\APPLIC~1\GDIPFONTCACHEV1.DAT


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-04-19 15:13 C:\WINDOWS\system32\nwiz.exe]
"00THotkey"="C:\WINDOWS\System32\00THotkey.exe" [2002-05-13 10:45]
"000StTHK"="000StTHK.exe" [2001-06-23 20:28 C:\WINDOWS\system32\000StTHK.exe]
"Tpwrtray"="TPWRTRAY.EXE" [2002-07-31 13:42 C:\WINDOWS\system32\TPWRTRAY.EXE]
"TFncKy"="TFncKy.exe" []
"TosHKCW.exe"="C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-01-22 18:20]
"TFNF5"="TFNF5.exe" [2001-09-04 11:31 C:\WINDOWS\system32\TFNF5.exe]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2002-07-16 01:41]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2002-08-09 12:07]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-10-26 01:47]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05]
"WLANSTA.EXE"="WLANSTA.exe" [2002-07-04 07:52 C:\WINDOWS\system32\WLANSTA.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-01-09 01:35]
"Norton Ghost 9.0"="D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-08-02 17:36]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-09-17 09:27]
"SSC_UserPrompt"="C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-03 00:59]
"uerscw"="C:\Program Files\ErrorSafe Free\uerscw.exe" [2007-05-30 14:33]
"avast!"="D:\Securite\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"Spooler SubSystem App"="C:\WINDOWS\System32\spooIsv.exe" [2001-08-28 14:00]
"Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe" [2001-08-28 14:00]
"Client Server Runtime Process"="C:\WINDOWS\System32\csrs.exe" [2001-08-28 14:00]
"Advanced DHTML Enable"="C:\WINDOWS\System32\gilsoh.exe" [2007-08-09 20:50]
"Microsoft Internet Explorer"="C:\WINDOWS\System32\iexplore.exe" []
"Windows Logon Application"="C:\WINDOWS\System32\logon.exe" [2001-08-28 14:00]
"Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2001-08-28 14:00]
"Windows Explorer"="C:\WINDOWS\System32\explorer.exe" [2001-08-28 14:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-05-23 12:15]
"Error Safe Free"="C:\Program Files\ErrorSafe Free\uers.exe" [2007-05-17 18:02]
"uerscw"="C:\Program Files\ErrorSafe Free\uerscw.exe" [2007-05-30 14:33]
"ErrorSafeFree"="C:\Program Files\ErrorSafe Free\uers.exe" [2007-05-17 18:02]
"HijackThis startup scan"="D:\Securite\Trend Micro\HijackThis\HijackThis.exe" [2007-08-08 23:58]
"eMuleAutoStart"="D:\Internet\eMule\emule.exe" [2007-05-13 16:57]
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89 > gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention  
 
oui combofix avait virer des drivers et services néfastes...

donc la tu fais sd fix c´est ca ?

tu peux passsé avg apres sd fix

pour antivir :

tu peux choisir les lecteurs a analyser :

dans l´interface tu click sur " scanner " et la tu choisie ce que tu veux scanner... en clickant sur l´onglet scanner et sur manual selection coche aussi rookit search.

click sur configuration et a gauche tu va va voir scanner tu agrandi tu va voir scan tu click dessus en suite dans la fenetre de droite tu choisie

coche expert mode puis

"Files" > all files

process > high

additionnal settings > tu coche tous

...
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3 > moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention  
 
1) Ca y est, j'ai réussi à télécharger, puis installer antivir (j'aurais préféré qu'il me demande où je voulais le mettre, parce que je sens que je vais encore avoir des problèmes avec l'espace sur C:\), en virant des trucs qui avaient été mis en quarantaine par un scan on-line qui avait planté avant la fin (c'était dans C:\QooBox\Quarantine\C\WINDOWS\system32\ et le scan, ça devait être HouseCall (www.secuser.com/outils/antivirus.htm) qui d'ailleurs m'avait dit avoir nettoyé WORM_MYDOOM.B).
2) Maintenant, antivir veut que je redémarre. Merci pour les informations de config parce que les scans, c'est super long (20 + 20 + 85 Mo sur le disque externe), je les ferais un par un.
3) Après, je pensais repasser un coup de ComboFix pour être sûre qu'il a correctement fini (en plus, après j'étais repassé en Windows normal, donc ils ont dû en profiter encore ...)

Donc je répète :
1) Scan de antivir (d'abord C:\, les autres je verrais plus tard)
2) ComboFix
3) SDFix ??? (je l'avais déjà passé avant de commencer à poster, mais peut-être que je n'avais pas uen manip inétgrale : le report.txt est plutôt court)
4) Install et scan avec AVG ???

Je redémarre et, sauf contre ordre, je ferais dans cet ordre-là.

Merci encore.
0
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89 > gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention  
 
oui je pense que tu es obligé de redemarrer sinon antivir y va pas etre de la partie...

sinon oui fais dans cette ordre...

0)
telecharge atf cleaner pour tes fichiers temporaire :

https://freewares-tutos.blogspot.com/2006/10/atf-cleaner.html


1) Scan de antivir (d'abord C:\, les autres je verrais plus tard)
2) ComboFix
3) SDFix
4) Install et scan avec AVG

post les differents rapports...

bonne fin de soirée, je repasserais que demain.
0
Réponse 6 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Bon, c'est loin d'être gagné !
Après le redémarrage pour AntiVir, j'ai pas réussi à obtenir le Mode Sans Echec (ça m'arrive souvent, je vais mettre ça sur le compte des virus, même si là, c'est trop parano pour être réaliste, à mon avis).
Donc, en mode normal, au bout de 3 min., j'ai eu droit à l'écran bleu. J'ai redémarré sans réussir à obtenir le Mode Sans Echec et AntiVir a commencé à m'envoyer quelques pop-up pour les exe (AVast parlait de Win32:Sality-AB, lui parle de Win32:Sality-L) et le choix par défaut qu'il propose, c'est quelque chose du genre << rendre inexécutable >>, le problème, c'est que je suis obligée de choisir << Ignore >>, sinon plus rien ne marchera ...
De toute façon, comme j'avais du mal à avoir la main et que tout le monde était un peu dans les choux, le ventilo s'est bloqué (il faut que je lui lance une grosse appli genre jeu ou, en tout cas, une appli avec de l'affichage style VLC ou adsltv pour que le ventilo n'ait pas envie de s'arrêter et risquer de ne jamais redémarrer), j'ai tapé dessus 1/4 d'heure, redémarré le ventilo, forcé l'arrêt avec le bouton On/Off et réussi à redémarrer en Mode Sans Echec.

Maintenant, je vais pouvoir passer le scan d'AntiVir, mais je vais tout mettre à << Ignore >> ... Je sens que la galère n'est pas finie, mais bon, j'ai de l'occupation ...
0
Réponse 7 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Ca ne va pas mieux ! ...
J'ai voulu passer le scan d'AntiVir, pour commencer, juste sur C:\. Je l'ai trouvé super rapide, j'ai trouvé ça bizarre ; j'ai recommencé : pareil. J'ai fait le scan sur tous les disques : il a pas trouvé plus de 2-3 trucs sur D:\ et rien sur F:\ (le disque externe).
J'avais d'autres problèmes, comme le ventilo, et j'ai commencé à m'en occuper. Tout d'un coup, je me suis rendue compte que j'avais 2,48 Go de libres sur C:\ !!! ... Alors que quelques heures avant, j'avais du mal à libérer une 50aine de Mo ... Je me suis demandé d'où ça venait en ayant très peur du moment où je réaliserais ce qui c'était passé. Puis je reviens vers AntiVir, toujours rapide, je veux revérifier la config et là, un E R R O R pop-up :
The application module
C:\Program Files\AntiVir PersonalEdition Classic\avconfig.exe
cannot be found or has been modified or destroyed.
The configuration cannot be started.
Please check your installation !
< OK >
... !!! ???
(J'avais fait bien sûr choisi l'install complète.)
Une idée de ce qui s'est passé ??? J'avais pas été embêtée par les virus (ou alors très peu) et je peux jurer que je n'ai pas fait d'erreur de manip. Comment ça a pu se produire ???

Il peut arriver que des virus effacent des fichiers n'importe où n'importe comment ??? Si il font ça, ils ne peuvent plus fonctionner et se reproduire ???

Rem. :
1) Avant le début des problèmes, j'avais pas plus de 1,6 Go de libres et depuis, des trucs ont été installés dans C:\ + des logs + les virus eux-mêmes et moi, à part virer les virus, je n'ai rien désinstallé.
2) OK, j'ai déjà trouvé quelque chose :
o le fichier hiberfil.sys qui sert à la mise en veille prolongée et qui doit faire 500 Mo a disparu ; quelque chose a dû modifier la config, un virus ???
o le fichier C:\Windows\system32\SysPr.prx qui est très souvent modifié et qui sert à je ne sais pas quoi a, lui aussi, disparu, sauf que il devait pas faire plus d'une 10aine de Mo.
3) Quant à AntiVir, la taille du répertoire d'install n'a pas bougé depuis que je l'ai installé (elle a juste augmenté d'une 100aine de Ko), mais je vais quand même le désinstaller et le réinstaller.
4) En regardant dans la liste << Ajout/Suppression de Programmes >>, j'ai vu Delsim Dialer (dont je parlais dans le poste 0 et que ComboFix avait identifié) : est-ce que ça vaut le coup que j'essaye de le supprimer ou il va revenir tout seul et j'attends qu'un Fix le fasse pour moi ???
0
Réponse 8 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Bon, ben j'ai pas beaucoup avancé ...

Pour AntiVir :
1) J'ai désinstallé AntiVir : pas par << Ajout/Suppression de Programmes >> comme indiqué dans l'aide, parce que j'avais un Pop-Up m'indiquant un problème de CRC checksum et m'obligeant à avorter le Setup, mais par le SetUp d'install qui permet aussi la désinstall.
2) Je redémarre pour finir proprement l'install comme il me le demande (donc j'ai effacé les anciens logs, dommage !!).
3) Je réinstalle AntiVir et je redémarre pour finir proprement l'install, mais je n'étais pas connectée à Internet, donc il a pas dû faire d'update.
4) Je lance le scan sur les 3 disques et il le finit en 2 SECONDES !!!
5) Je cherche à faire un Update : problème, le scheduler n'est pas lancé et je n'ai pas réussi à comprendre comment le lancer. Du coup, j'ai été télécharger le VDF Update (version Unicode pour XP) et je l'ai décompressé dans le répertoire d'install d'AntiVir. La fenêtre principale de la Console indique :
Search Engine:      V. 7.04.00.57, 2007-08-01
Virus Definition file:      V6.39.00.225, 2007-08-09

6) Après avoir arrêté et redémarré AntiVir, je rescanne, mais c'est toujours aussi rapide.

En passant, il m'a trouvé un nouveau virus : WORM/RBot.XFC ; ah non, 2 avec Trojan horse TR/Crypt.XPACK.Gen (mais il me le disait pas dans les pop-ups, enfin celui-là, je lui kille souvent son exécutable, qui revient quand même ! ...).

Est-ce que c'est parce que, au 1er pop-up, je lui dit d'ignorer qu'après il zapperait le reste ?

Je vais poster au prochain message les logs des 2 scans qui me semblent intéressants (i.e. qui parlent de virus) et pas ceux qui trouvent rien.

Mais j'ai beaucoup de mal à croire que j'étais avant-hier à + de 1100 fichiers infectés sur C:\, D:\ et F:\ et aujourd'hui à beaucoup moins d'une 100aine.
Il y a sûrement un truc que j'ai pas compris ...

Après, je recommence ComboFix et je le poste.

Et, après, je vais peut-être faire une pause avant AVG, SDFix et Kerio ...
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Il faut être rapide : les virus ont déjà infecté AntiVir et il ne marche à nouveau plus !!! ...

Log du 1er scan intéressant d'AntiVir :
o Beaucoup de W32/Sality.L trouvés
o N'a rien trouvé sur F:\ et seulement 2 sur D:\.
o Il n'a scanné que 3 répertoires (ou alors il parle de disques logiques ???) et 81 fichiers : promis, même s'il y a des trucs qui ont disparu, il me reste plus de données que ça ... et lui, il met moins d'1 min. pour scanner ???

========================================================== 
AntiVir PersonalEdition Classic
Report file date: 2007-08-10  06:10

Scanning for 740715 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (plain)  [5.1.2600]
Username:         XXX
Computer name:    XXX

Version information:
BUILD.DAT    : 248           14437 Bytes  2007-05-31 16:59:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  2007-04-20 11:37:16
AVSCAN.DLL   : 7.0.4.4       33832 Bytes  2007-03-27 11:31:56
LUKE.DLL     : 7.0.4.11     143400 Bytes  2007-03-27 11:26:06
LUKERES.DLL  : 7.0.4.0       10280 Bytes  2007-03-19 11:19:00
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  2006-05-31 13:08:58
ANTIVIR1.VDF : 6.37.1.151  4303360 Bytes  2007-02-23 13:09:02
ANTIVIR2.VDF : 6.38.0.214   729600 Bytes  2007-04-12 13:09:02
ANTIVIR3.VDF : 6.38.0.225    50688 Bytes  2007-04-16 13:09:02
AVEWIN32.DLL : 7.4.0.12    2404864 Bytes  2007-04-13 13:04:24
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 09:36:28
AVPREF.DLL   : 7.0.2.1       24616 Bytes  2007-03-27 11:31:52
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 12:16:24
AVPACK32.DLL : 7.3.0.8      360488 Bytes  2007-03-27 07:48:30
AVREG.DLL    : 7.0.1.2       31784 Bytes  2007-03-15 08:05:10
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  2007-03-27 11:16:06
AVARKT.DLL   : 1.0.0.17     278568 Bytes  2007-05-02 10:32:28
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 10:09:44
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  2007-03-13 09:46:20
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  2007-03-19 11:42:44

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2007-08-10  06:10

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'vlc.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\Program Files\Freewares\VideoLAN\VLC\vlc.exe'
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'adsltv.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\Program Files\Freewares\adslTV\adsltv.exe'
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'taskmgr.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\WINDOWS\system32\Explorer.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

19 processes with 19 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!
Master boot sector HD1
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
C:\WINDOWS\system32\rundll32.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\rundll32.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\nwiz.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\nwiz.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\00THotkey.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\00THotkey.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\000StTHK.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\000StTHK.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TPWRTRAY.EXE
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TPWRTRAY.EXE
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\Wireless Hotkey\TosHKCW.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\Wireless Hotkey\TosHKCW.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TFNF5.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TFNF5.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Apoint2K\Apoint.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Apoint2K\Apoint.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\TouchED\TouchED.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\TouchED\TouchED.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\QuickTime\qttask.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\QuickTime\qttask.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\D-Tools\daemon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\D-Tools\daemon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\WLANSTA.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\WLANSTA.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\logon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\logon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\lssas.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\lssas.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\explorer.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\explorer.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Messenger\msmsgs.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Messenger\msmsgs.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Internet\eMule\emule.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Internet\eMule\emule.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L

The registry was scanned ( '39' files ).


Starting the file scan:

Begin scan in 'C:\'
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\CONFIG.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\IO.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\MSDOS.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\pagefile.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\'
Begin scan in 'F:\'


End of the scan: 2007-08-10  06:11
Used time: 00:42 min

The scan has been done completely.

      3 Scanning directories
     81 Files were scanned
     30 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      4 Files cannot be scanned
     51 Files not concerned
      0 Archives were scanned
      4 Warnings
      0 Notes
      0 Hidden objects were found

==========================================================

Log du 2ème scan intéressant d'AntiVir :
o Là, il y a du W32/Sality.L, du TR/Crypt.XPACK.Gen et du WORM/RBot.XFC.
o Il en a trouvé un peu plus qu'au 1er coup, pourquoi il ne les avait pas vu avant ? J'ai sûrement fait l'Update entre les 2.

========================================================== 
AntiVir PersonalEdition Classic
Report file date: 2007-08-10  06:47

Scanning for 1009043 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (plain)  [5.1.2600]
Username:         XXX
Computer name:    XXX

Version information:
BUILD.DAT    : 248           14437 Bytes  2007-05-31 16:59:00
AVSCAN.EXE   : 7.0.4.15     282664 Bytes  2007-04-20 11:37:16
AVSCAN.DLL   : 7.0.4.4       33832 Bytes  2007-03-27 11:31:56
LUKE.DLL     : 7.0.4.11     143400 Bytes  2007-03-27 11:26:06
LUKERES.DLL  : 7.0.4.0       10280 Bytes  2007-03-19 11:19:00
ANTIVIR0.VDF : 6.35.0.1    7371264 Bytes  2006-05-31 12:14:26
ANTIVIR1.VDF : 6.39.0.129  7251968 Bytes  2007-07-10 16:34:26
ANTIVIR2.VDF : 6.39.0.207  1077248 Bytes  2007-08-02 16:34:26
ANTIVIR3.VDF : 6.39.0.225   160256 Bytes  2007-08-09 16:34:26
AVEWIN32.DLL : 7.4.0.57    2707968 Bytes  2007-08-01 17:13:38
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 09:36:28
AVPREF.DLL   : 7.0.2.1       24616 Bytes  2007-03-27 11:31:52
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-08-09 16:33:06
AVPACK32.DLL : 7.3.0.15     360488 Bytes  2007-08-03 07:46:00
AVREG.DLL    : 7.0.1.2       31784 Bytes  2007-03-15 08:05:10
AVEVTLOG.DLL : 7.0.0.18      86056 Bytes  2007-03-27 11:16:06
AVARKT.DLL   : 1.0.0.17     278568 Bytes  2007-05-02 10:32:28
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 10:09:44
RCIMAGE.DLL  : 7.0.1.15    2228264 Bytes  2007-03-13 09:46:20
RCTEXT.DLL   : 7.0.45.0      86056 Bytes  2007-03-19 11:42:44

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: F:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2007-08-10  06:47

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'bash.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\cygwin\bin\bash.exe'
Scan process 'cmd.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'vlc.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\Program Files\Freewares\VideoLAN\VLC\vlc.exe'
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'adsltv.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\Program Files\Freewares\adslTV\adsltv.exe'
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'taskmgr.exe' - '1' Module(s) have been scanned
Scan process 'Explorer.exe' - '1' Module(s) have been scanned
  Module is infected -> 'C:\WINDOWS\system32\Explorer.exe'
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned

21 processes with 21 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!
Master boot sector HD1
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!
Boot sector 'F:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
C:\WINDOWS\system32\rundll32.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\rundll32.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\nwiz.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\nwiz.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\00THotkey.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\00THotkey.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\000StTHK.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\000StTHK.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TPWRTRAY.EXE
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TPWRTRAY.EXE
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\Wireless Hotkey\TosHKCW.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\Wireless Hotkey\TosHKCW.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TFNF5.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\TFNF5.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Apoint2K\Apoint.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Apoint2K\Apoint.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\TouchED\TouchED.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Toshiba\TouchED\TouchED.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\QuickTime\qttask.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\QuickTime\qttask.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\D-Tools\daemon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\D-Tools\daemon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\WLANSTA.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\WLANSTA.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\gilsoh.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\gilsoh.exe
      [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
C:\WINDOWS\system32\logon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\logon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\lssas.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\lssas.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\explorer.exe
      [DETECTION] Contains signature of the worm WORM/RBot.XFC
C:\WINDOWS\system32\explorer.exe
      [DETECTION] Contains signature of the worm WORM/RBot.XFC
C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\preupd.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Messenger\msmsgs.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Messenger\msmsgs.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uerscw.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\ErrorSafe Free\uers.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Securite\Trend Micro\HijackThis\HijackThis.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Internet\eMule\emule.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
D:\Internet\eMule\emule.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\WINDOWS\system32\ctfmon.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
      [DETECTION] Contains signature of the Windows virus W32/Sality.L

The registry was scanned ( '39' files ).


Starting the file scan:

Begin scan in 'C:\'
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\CONFIG.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\IO.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\MSDOS.SYS
      [WARNING]   The file could not be opened!
\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\?\\\pagefile.sys
      [WARNING]   The file could not be opened!
Begin scan in 'D:\'
Begin scan in 'F:\'


End of the scan: 2007-08-10  06:48
Used time: 00:58 min

The scan has been done completely.

      3 Scanning directories
     83 Files were scanned
     32 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      4 Files cannot be scanned
     51 Files not concerned
      0 Archives were scanned
      4 Warnings
      0 Notes
      0 Hidden objects were found

==========================================================

3ème scan d'AntiVir :
Id. à celui du dessus.
Il a juste scanné en plus le process avnotify.exe qui devait déjà avoir un problème.
==========================================================
0
gail_12 > gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà maintenant le Rapport de ComboFix, suivi du Rapport de Quarantaine de ComboFix (C:\ComboFix-quarantined-files.txt) [j'ai viré la partie arborescence, ça sera moins long à lire].
Je me rappelle pas avoir appuyé sur la touche 1, mais j'ai dû le faire sans faire attention, puisqu'il a terminé ... Il ne m'a pas non plus demandé de rebooter. Est-ce qu'il serait infecté ?
Qu'est-ce que je fais avec ça ? C'est juste un log de scan ou il a aussi éradiqué les problèmes qu'il a détectés ?
Apparemment, ils ont l'air d'être toujours là ...
Ah ! je crois qu'il m'a remis l'heure normale, cool !
Comme mon PC a à nouveau des problèmes de ventilo, je vais faire la pause dont je parlais ...

Merci d'avance pour les commentaires.
========================================================== 
ComboFix 07-08-09.3 - "XXX" 2007-08-10  7:56:38.2 - [color=red][b]FAT32[/b][/color]x86 NETWORK
Microsoft Windows XP dition familiale  5.1.2600.0.1252.1.1036.18.308 [GMT 2:00]


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\XANTOP~1\APPLIC~1\..\err.log
C:\WINDOWS\system32\explorer.exe
C:\windows\system32\explorer.exe


(((((((((((((((((((((((((   Files Created from 2007-07-10 to 2007-08-10  )))))))))))))))))))))))))))))))


2007-08-10 05:40	23,552	--a------	C:\WINDOWS\system32\wmimgr32.dll
2007-08-10 05:35	<REP>	d--------	C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-08-10 04:14	545,280	--a------	C:\WINDOWS\system32\win17287.dll
2007-08-10 04:13	124,416	--a------	C:\WINDOWS\system32\gilsoh.exe
2007-08-10 00:36	545,280	--a------	C:\WINDOWS\system32\win36314.dll
2007-08-10 00:36	39,936	--a------	C:\WINDOWS\system32\winresponse32.exe
2007-08-10 00:09	128	--a------	C:\WINDOWS\system32\sdvaog.bat
2007-08-09 23:17	545,280	--a------	C:\WINDOWS\system32\win38787.dll
2007-08-09 23:17	34,816	--a------	C:\WINDOWS\winddlll.exe
2007-08-09 20:52	1,327	--a------	C:\DOCUME~1\XANTOP~1\clean.reg
2007-08-09 20:48	<REP>	d--h-----	C:\Program Files\Fichiers communs\delsim
2007-08-09 20:10	38,912	-r-hs----	C:\WINDOWS\system32\dllcache\ivchost.exe
2007-08-09 17:41	<REP>	d--------	C:\WINDOWS\ERUNT
2007-08-09 04:58	51,200	--a------	C:\WINDOWS\nircmd.exe
2007-08-08 22:10	<REP>	d--hs----	C:\FOUND.002
2007-08-08 21:45	<REP>	d--hs----	C:\FOUND.001
2007-08-08 21:35	<REP>	d--hs----	C:\FOUND.000
2007-08-08 16:13	95,608	--a------	C:\WINDOWS\system32\AvastSS.scr
2007-08-08 16:13	42,912	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2007-08-08 16:13	26,624	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-08 16:13	23,152	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2007-08-08 16:12	94,416	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2007-08-08 16:12	92,848	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2007-08-08 16:12	783,224	--a------	C:\WINDOWS\system32\aswBoot.exe
2007-08-07 21:43	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\Error Safe Free
2007-08-07 21:38	<REP>	d--------	C:\Program Files\ErrorSafe Free
2007-08-07 20:26	<REP>	d--------	C:\WINDOWS\backup
2007-08-07 20:25	<REP>	d--------	C:\WINDOWS\report
2007-08-07 20:23	86,094	--a------	C:\WINDOWS\BPMNT.dll
2007-08-07 20:23	71,749	--a------	C:\WINDOWS\hcextoutput.dll
2007-08-07 20:23	288,256	--a------	C:\WINDOWS\tsc.exe
2007-08-07 20:23	1,163,344	--a------	C:\WINDOWS\vsapi32.dll
2007-08-07 20:23	<REP>	d--------	C:\WINDOWS\AU_Backup
2007-08-07 20:22	<REP>	d--------	C:\WINDOWS\AU_Temp
2007-08-07 20:22	<REP>	d--------	C:\WINDOWS\AU_Log
2007-08-07 20:21	69,689	--a------	C:\WINDOWS\UNZIP.DLL
2007-08-07 20:21	507,904	--a------	C:\WINDOWS\TMUPDATE.DLL
2007-08-07 20:21	307,200	--a------	C:\WINDOWS\PATCH.EXE
2007-08-07 18:37	534,016	-r-hs----	C:\WINDOWS\wuauapl.exe
2007-08-03 02:08	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\Simple Sudoku
2007-08-02 23:48	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\vlc
2007-08-02 21:11	<REP>	d--------	C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
2007-08-02 20:37	<REP>	d--------	C:\WINDOWS\system32\bits
2007-08-02 20:34	7,168	---------	C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-08-02 20:34	7,168	---------	C:\WINDOWS\system32\bitsprx3.dll
2007-08-02 20:34	331,776	--a------	C:\WINDOWS\system32\winhttp.dll
2007-08-02 20:33	7,680	---------	C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-08-02 20:33	7,680	---------	C:\WINDOWS\system32\bitsprx2.dll
2007-08-02 20:33	17,408	--a------	C:\WINDOWS\system32\qmgrprxy.dll
2007-08-02 20:15	549,720	--a------	C:\WINDOWS\system32\wuapi.dll
2007-08-02 20:15	43,352	--a------	C:\WINDOWS\system32\wups2.dll
2007-08-02 20:15	33,624	--a------	C:\WINDOWS\system32\wups.dll
2007-08-02 20:15	325,976	--a------	C:\WINDOWS\system32\wucltui.dll
2007-08-02 20:14	<REP>	d--------	C:\WINDOWS\SoftwareDistribution
2007-08-02 12:24	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\Symantec
2007-08-02 11:53	<REP>	d--------	C:\Program Files\Norton AntiVirus
2007-08-02 11:52	87,768	--a------	C:\WINDOWS\system32\S32EVNT1.DLL
2007-08-02 11:52	108,168	--a------	C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-08-02 11:52	10,344	--a------	C:\WINDOWS\system32\drivers\symlcbrd.sys
2007-07-31 19:14	<REP>	d--------	C:\DOCUME~1\XANTOP~1\APPLIC~1\IsolatedStorage
2007-07-31 19:13	<REP>	d--------	C:\WINDOWS\system32\URTTemp
2007-07-31 01:56	<REP>	d--------	C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
2007-07-31 01:55	<REP>	d--------	C:\Program Files\Symantec
2007-07-31 01:55	<REP>	d--------	C:\Program Files\Fichiers communs\Symantec Shared


((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-09 20:53	134656	--a------	C:\WINDOWS\system32\sfc_os.dll
2007-08-02 19:31	64052	--a------	C:\WINDOWS\system32\perfc00C.dat
2007-08-02 19:31	445672	--a------	C:\WINDOWS\system32\perfh00C.dat
2007-08-02 10:47	51733	--a------	C:\WINDOWS\system32\nvsloader.dat
2005-05-25 07:50	27352	--a------	C:\DOCUME~1\&TOP~1\APPLIC~1\GDIPFONTCACHEV1.DAT


(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
*Note* empty entries & legit default entries are not shown 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" []
"nwiz"="nwiz.exe" [2002-04-19 15:13 C:\WINDOWS\system32\nwiz.exe]
"00THotkey"="C:\WINDOWS\System32\00THotkey.exe" [2002-05-13 10:45]
"000StTHK"="000StTHK.exe" [2001-06-23 20:28 C:\WINDOWS\system32\000StTHK.exe]
"Tpwrtray"="TPWRTRAY.EXE" [2002-07-31 13:42 C:\WINDOWS\system32\TPWRTRAY.EXE]
"TFncKy"="TFncKy.exe" []
"TosHKCW.exe"="C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe" [2002-01-22 18:20]
"TFNF5"="TFNF5.exe" [2001-09-04 11:31 C:\WINDOWS\system32\TFNF5.exe]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2002-07-16 01:41]
"TouchED"="C:\Program Files\TOSHIBA\TouchED\TouchED.Exe" [2002-08-09 12:07]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-10-26 01:47]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05]
"WLANSTA.EXE"="WLANSTA.exe" [2002-07-04 07:52 C:\WINDOWS\system32\WLANSTA.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-01-09 01:35]
"Norton Ghost 9.0"="D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe" [2004-08-02 17:36]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-09-17 09:27]
"SSC_UserPrompt"="C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-03 00:59]
"uerscw"="C:\Program Files\ErrorSafe Free\uerscw.exe" [2007-05-30 14:33]
"avast!"="D:\Securite\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"Spooler SubSystem App"="C:\WINDOWS\System32\spooIsv.exe" []
"Application Layer Gateway Service"="C:\WINDOWS\System32\algs.exe" []
"Client Server Runtime Process"="C:\WINDOWS\System32\csrs.exe" []
"Advanced DHTML Enable"="C:\WINDOWS\system32\gilsoh.exe" [2007-08-10 06:08]
"Microsoft Internet Explorer"="C:\WINDOWS\System32\iexplore.exe" []
"Windows Logon Application"="C:\WINDOWS\System32\logon.exe" [2001-08-28 14:00]
"Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2001-08-28 14:00]
"Windows Explorer"="C:\WINDOWS\System32\explorer.exe" []
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-05-23 12:15]
"Error Safe Free"="C:\Program Files\ErrorSafe Free\uers.exe" [2007-05-17 18:02]
"uerscw"="C:\Program Files\ErrorSafe Free\uerscw.exe" [2007-05-30 14:33]
"ErrorSafeFree"="C:\Program Files\ErrorSafe Free\uers.exe" [2007-05-17 18:02]
"HijackThis startup scan"="D:\Securite\Trend Micro\HijackThis\HijackThis.exe" [2007-08-08 23:58]
"eMuleAutoStart"="D:\Internet\eMule\emule.exe" [2007-05-13 16:57]

C:\Documents and Settings\XXX\Menu D‚marrer\Programmes\D‚marrage\
wkcalrem.LNK - C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2002-06-26 18:57:40]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R0 PQV2i;PQV2i;C:\WINDOWS\System32\drivers\PQV2i.sys
R0 TVALD;Toshiba ACPI-Based Value Added Logical Device Driver;C:\WINDOWS\System32\DRIVERS\TVALD.SYS
R0 TVALG;Toshiba Value Added Logical and General Purpose Device Driver;C:\WINDOWS\System32\DRIVERS\TVALG.SYS
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R1 SSHDRV52;SSHDRV52;\??\C:\WINDOWS\System32\drivers\SSHDRV52.sys
R3 WLANRB;NETGEAR Wireless 802.11b LAN RB Driver;C:\WINDOWS\System32\DRIVERS\MA401RB.sys
S1 avipbb;avipbb;C:\WINDOWS\System32\DRIVERS\avipbb.sys
S1 PQIMount;PQIMount;C:\WINDOWS\System32\drivers\PQIMount.sys
S1 ssmdrv;ssmdrv;C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
S2 Local Service;Local Service;"C:\WINDOWS\wuauapl.exe"
S2 mshexdefx;ms hexidecimal defx;"C:\WINDOWS\system32\dllcache\ivchost.exe"
S2 Smart Card Client ;Smart Card Client ;"C:\WINDOWS\SCardClnt.exe"
S3 Bridge;Pont MAC;C:\WINDOWS\System32\DRIVERS\bridge.sys
S3 BridgeMP;Miniport de pont MAC;C:\WINDOWS\System32\DRIVERS\bridge.sys
S3 FCPCMCIA;Freecom Cable II PCMCIA Driver;C:\WINDOWS\System32\Drivers\FCPCMCIA.sys
S3 pciSd;pciSd;C:\WINDOWS\System32\DRIVERS\tossdpci.sys
S3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys
S3 tsdhd;TOSHIBA SD Card Host Controller Driver;C:\WINDOWS\System32\DRIVERS\tsdhd.sys
S3 WDM_YAMAHAAC97;YAMAHA AC-XG Audio Device;C:\WINDOWS\System32\drivers\yacxgc.sys

*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - SSMDRV

Contents of the 'Scheduled Tasks' folder
2003-04-14 06:55:18 C:\WINDOWS\Tasks\Lecteur Windows Media.job - C:\PROGRA~1\WINDOW~3\wmplayer.exe
2007-08-09 22:10:04 C:\WINDOWS\Tasks\Symantec NetDetect.job 
2007-08-03 18:00:08 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - XXX.job 

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-10 07:57:26
Windows 5.1.2600  FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-10  7:57:44
C:\ComboFix-quarantined-files.txt ... 2007-08-10 07:57

	--- E O F ---

==========================================================

========================================================== 
[code]
2001-08-28 14:00      143360    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\iexplore.exe.vir
2001-08-28 14:00      163840    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\explorer.exe.vir
2007-08-09 15:06      34560    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\runtime2.sys.vir
2007-08-09 20:46      1098    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.cf
2007-08-09 20:46      284    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_NTIO256.reg.cf
2007-08-09 20:46      2956    --a------    C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.cf
2007-08-09 20:46      352    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf
2007-08-09 20:46      802    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_XPDX.reg.cf
2007-08-09 20:52      0    --a------    C:\Qoobox\Quarantine\C\DOCUME~1\XANTOP~1\err.log.vir

[...]

==========================================================
0
Réponse 9 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
salut gail_12,

c´est un beau chantier...

tu as fais avg, puis je voir le rapport.

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

@+
0
gail_12
 
Bonjour moK' s@,

J'avais pas vu que tu m'avais répondu.

mok' @ :
c'est un beau chantier ...

Oh la ! Tu parles de quoi ? De mes commentaires ou des logs ???

Quant à moi, j'ai encore fait les trucs de travers : j'ai commencé AVG avant de faire un SDFix (+ je voulais repasser encore ComboFix) ...

Pour AVG, à peine je l'avais lancé qu'il m'a trouvé Backdoor.PoeBot.o : encore un cousin de un qui avait déjà été repéré ; j'avais même pas eu le temps de faire la MAJ (mais il l'a faite lui-même), ni de redémarrer.
Pour Backdoor.PoeBot.o, j'ai fait << Nettoyer et Mettre en Quarantaine >>.
L'exe (C:\WINDOWS\system32\spooIsv.exe) qui a été mis en quarantaine et crypté d'après AVG pour empêcher son exécution est toujours présent ds le répertoire C:\WINDOWS\system32 et dans la fenêtre de Quarantaine, il apparaît 2 fois. Est-ce que c'est parce qu'il a été recréé dès que AVG l'a neutralisé ?
En plus, je l'ai vu passé plus tard dans le Task Manager (et je l'ai killé).
Est-ce que la Quarantaine est vraiment efficace ?

En tout cas, j'ai redémarré, puis lancé un scan complet avec AVG.
Quand je vois des trucs pas clairs qui traînent dans le Task Manager ou dans le Windows Explorer, je les kille/supprime même si il y a un outil de désinfection qui tourne. Est-ce que c'est une bonne (ça bouffe moins de CPU) ou une mauvaise (ils risquent de passer à travers le scan) idée ???

Le scan d'AVG n'est pas encore terminé (ça doit déjà faire 2h1/2), explorer.exe n'arrêtait pas de me bouffer de la CPU, je le killais et le redémarrais, mais ça recommençait ; là, je vais m'en passer ; en plus, à cause de lui, les copier-coller dans l'Internet Explorer ne marchaient plus à nouveau, mais c'est revenu [Faux : j'ai parlé trop vite ...].
Maintenant le scan d'AVG ne devrait plus trop durer (peut-être 1/2h).

J'ai eu un autre pop-up pendant le scan : un exécutable avec un nom space infecté par Dropper.Small ; je l'ai mis en quarantaine, mais je ne comprends pas : le path n'est pas affiché (il y a juste le nom de l'exécutable dans la colonne Origine) et c'est apparu alors qu'il scannait le disque externe, qui << a priori >> (?) n'est presque pas infecté. Comment savoir si je ne risque pas de supprimer un vrai (et nécessaire) fichier auquel un sale machin aurait juste rajouté un peu de code qui se lance à l'exécution ?

Pour le scan d'AVG, tu m'avais dit de configurer de façon à Supprimer Tout, j'ai préféré choisir de Mettre En Quarantaine pour les supprimer moi-même à la main pour les mêmes raisons qu'au-dessus (éviter de supprimer des fichiers vitaux ou que je ne pourrai pas réinstaller (pas de lecteur CD)) : c'est un problème ???

Pour le moment, AVG a détecté 35 objets infectés.

Pour Clean, je l'ai téléchargé (j'ai pas eu de problème de chargement de la page de malekal.com).

Mais maintenant, j'attends qu'AVG se termine ...

Merci encore.
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Encore une question (!).

J'ai encore un pop-up << Arrêt Système >> de AUTORITE_NT\SYSTEM, mais cette fois-ci, j'ai pris le temps de regarder à quel processus il correspondait (i.e winlogon.exe).
Qu'est-ce que ça signifie : est-ce que c'est un << sosie >> de winlogon.exe (j'ai pas pensé à regarder son PID) ou est-ce que c'est le winlogon.exe originel qui est infecté ?
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3 > gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention  
 
Commentaire :
Après avoir été regarder le PID, je pense que le pop-up serait initié par le winlogon.exe originel.
0
Réponse 10 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
re,

c'est un beau chantier ... > les logs bien evidement ;-)

toute une histoire a chaque fois :D

laisse les scans travailler, je sais c´est long, mais comme tu dis, ca risque d´interferer sur les résultats de killer les processus en meme temps, en tout cas vide la quarantaine de avg.

post le arpport avg et celui de clean

on fera un autre fix apres...
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
moK´s@ :
c'est un beau chantier ... > les logs bien evidement ;-)

toute une histoire a chaque fois :D

=> Ah ! J'arrive à les lire, mais pas toujours à tout comprendre ...
Néanmoins, si t'as une moulinette/un shell script pour en retirer juste les lignes à problèmes, je pourrais la/le passer avant de les poster.
Ca serait plus digeste à lire !
Ou alors, j'enlève moi-même les lignes :
o soit que je suppose très fortement
o soit que je suis sûre à 200 % (là, ça risque de pas écrémer beaucoup ... !)
qu'elles sont OK et ne révèlent aucun problème.

moK´s@ :
ca risque d´interferer sur les résultats de killer les processus en meme temps,

=> OK, je t'ai entendu, pourtant je t'assure que ça me démange et, quand ça me démange, j'ai beaucoup de mal à m'empêcher ... !
Je me contenterai de << shutdown -a >> : 3 dans l'heure qui vient de passer !! [Non, 4 maintenant !!!]

moK´s@ :

vide la quarantaine de avg.

=> En plein scan ?
D'accord pour le doublon C:\WINDOWS\system32\spooIsv.exe.
Mais pour l'autre dont il ne m'a même pas spécifié le path ???
Sûr que je risque pas de supprimer un fichier qui m'appartenait ???
0
Réponse 11 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
avec tout ca je n´ai pas encore vu ton hijack this...

il se peux qu´il y ai du vundo.

post les rapport de avg, clean deja...
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
moK´s@ :

avec tout ca je n´ai pas encore vu ton hijack this...

=> Je sais ; en plus, il marche plus je crois, il faut que je le re-récupère ou réinstalle.
Je dois pouvoir trouver un ancien (+ de 24 h) rapport : c'est obsolète ou ça t'intéresse ???

Peut-être que je peux relancer un HijackThis pendant le scan d'AVG ???
Le scan d'AVG en est à scanner le disque externe, mais, bon, la 1/2 heure dont je parlais tout à l'heure s'éternise, il en faudra, à mon avis, au moins 2 de plus avant qu'il ne termine ...
En plus, il ne semble pas consommer plus de 20 % de CPU. Est-ce que je peux augmenter la priorité du process du scan d'AVG ???

moK´s@ :

il se peux qu´il y ai du vundo.

=> Oh, j'ai vu ça quelque part :
* soit en lisant des forums avant de commencer à poster,
* soit c'est le nom d'un utilitaire (?)
* soit c'est dans mes logs ...

Tu dois sûrement avoir raison.
0
Réponse 12 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
ok
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
moK´s@ :
ok

=> Euh, j'ai pas compris << ok >> pour quoi ?
Pour virer les lignes de logs inutiles ???
0
Réponse 13 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
laisse finir avg et post le rapport et celui de hijack this, il faut un nouveau hijack this alors attends la fin du scan avg pour le faire...

je ne crois pas que tu puisse augmenter la priorité dans avg...

vundo s´attaque au winlogon...

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

on fera clean + tard...
0
Réponse 14 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
ok > je ne sais plus.

pour ne pas me répéter je me tais...

@+
0
Réponse 15 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Encore un nouveau : Downloader.Conhook.ah ...

Pour vider de la quarantaine, je me contente de faire supprimer ou j'utilise l'outil Destructeur avec l'option pour paranos ???
0
Réponse 16 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
supprimer suffira LOL
0
Réponse 17 / 105
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
Rapport de AVG :
J'ai pas compris : le scan est terminé (il a bien dû mettre 5h et, en plus, je m'en suis pas rendue compte immédiatement !).
J'avais bien coché dans << Analyse -> Paramètres -> Rapports >> le choix << Générer un Rapport après chaque Analyse >>, mais l'Analyse est terminée (y compris j'ai choisi et appliqué les Actions) et, sous l'onglet << Rapports >>, sur la partie droite, j'ai le message << Aucun rapport disponible. >> ; dans l'arborescence du programme, il n'y a pas de rapport non plus, juste un error.txt de 54 lignes dont 50 écrites avant le début du scan.
Je ne vois pas comment le forcer à me pondre un rapport ???
Est-ce que je dois pour ça quitter la Console d'AVG ??? Et alors, il considèrera l'Analyse terminée et créera un rapport ?
Ou alors, est-ce qu'il va mettre les rapports ailleurs que dans le répertoire du logiciel ??? (pas très facile de chercher sans explorer.exe !)

Dans l'aide, ils disent :
<< Notez que vous pouvez enregistrer le rapport d'une analyse manuelle en cliquant sur le bouton Enregistrer le rapport d'analyse (qui s'affiche à la fin de chaque analyse). >>

Je ne vois ce bouton nulle part !!! Et apparemment, la phrase ne concerne pas le cas où on a choisi l'option << Générer un Rapport après chaque Analyse >> !

Bon je continue à chercher dans l'aide ...
0
Réponse 18 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
bon laisse tombé post le hijack this :

* Télécharge HijackThis et poste le rapport stp

http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
gail_12 Messages postés 66 Date d'inscription   Statut Membre Dernière intervention   3
 
'A'y'est : j'ai trouvé le bouton, mais je ne peux pas cliquer dessus !!! ...

Bon je crois que je vais redémarrer, ça sera plus simple pour réinstaller HijackThis avec un explorer !!
0
gail_12
 
AVG :

1) Pour info, j'étais passée de Priorité << Normale >> à Priorité << Supérieure à la normale >> et, comme ça, il lui arrivait de faire des pics jusqu'à 90 % de CPU.

2) Je vais chercher sur les disque si un rapport a été généré.

Sinon, voilà tout ce qu'il a trouvé :
a) Menaces qui ne sont pas basses :
- Backdoor.PoeBot.o
- Backdoor.PoeBot.c
- Proxy.Agent.II
- Trojan.Lineage.zh
- Dialer.Delsim
- Rootkit.Agent.ey
- Downloader.Delf.ain
- Trojan.Small
- Downloader.IstBar.u
- Trojan.Keygen.s
- Backdoor.PoeBot.j
- Trojan.Klone.k
- Dropper.Small
- Trojan.Agent.aoy
b) Menaces qu'il qualifie de basses :
- Adware.Generic
- TrackingCookie.Netflame
- TrackingCookie.2o7
- TrackingCookie.Smartadserver
- TrackingCookie.Realmedia
- Adware.SysProtect
- Adware.SystemDoctor
- Adware.NewDotNet
- Not-A-Virus.Hacktool.EvID
- Not-A-Virus.Downloader.Win32.WinFixer.j
- Not-A-Virus.Downloader.Win32.WinFixer.o

Euh, au secours, j'ai des caractères qui s'affichent tous seuls dans le post !!!

HijackThis :
Pour HijackThis, finalement, la version que j'avais déjà installée marche à nouveau (plus de conflit qui l'empêche de terminer).

Donc, je te poste (Enfin !) le log tel quel parce que j'ai pas eu le temps de lire le tutorial (j'ai commencé, mais j'ai pas fini) pour comprendre les ligens que je ne comprends pas trop.
Cf. post suivant.
0
gail_12 > gail_12
 
Log de HijackThis :

Bon, j'ai déjà vu que certains trucs n'allaient pas, je vais commenter ça dans un autre post.

===========================================================
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:00:32, on 10/08/2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Freewares\VideoLAN\VLC\vlc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\cmd.exe
C:\cygwin\bin\bash.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Securite\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - F:\Logiciels\Utilitaires\NetTransport\NXToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 20
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Program Files\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Securite\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c
O4 - HKLM\..\Run: [avast!] D:\Securite\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Securite\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Error Safe Free] C:\Program Files\ErrorSafe Free\uers.exe /scan
O4 - HKCU\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /min
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Securite\Trend Micro\HijackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Internet\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Tout télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddList.html
O8 - Extra context menu item: Télécharger avec NetXfer - F:\Logiciels\Utilitaires\NetTransport\NXAddLink.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Securite\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Securite\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Securite\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Securite\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: QuickTime - Unknown owner - C:\WINDOWS\QuickTime.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Smart Card Client - Unknown owner - C:\WINDOWS\SCardClnt.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
0
gail_12 > gail_12
 
Commentaires sur le Log de HijackThis :

1) Y'a 2 jours, j'avais déjà viré ça : 
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\xiqklvcz.exe
O23 - Service: DomainService -   - C:\WINDOWS\System32\qwerty12.exe
O4 - HKLM\..\Run: [fesyhf] C:\WINDOWS\System32\kvscnr.exe
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\System32\xwefrbff.dll",forkonce
O4 - HKCU\..\Run: [fesyhf] C:\WINDOWS\System32\kvscnr.exe

Par contre, je viens d'écraser l'ancien log !

2) Là, je viens de virer ça : 
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\gilsoh.exe
O20 - AppInit_DLLs: c:\windows\system32\awvtrss.dll
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe

Rem. : La ligne << O20 >> n'apparaissait pas dans le log : c'est pas normal ? Finalement, peut-être que je devrais quand même réinstaller HijackThis, tu crois pas ???

3) Le reste me semble OK, mais j'y connais rien ...

Merci pour tes commentaires.
0
Réponse 19 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
ok
0
Réponse 20 / 105
moK´s@ Messages postés 4399 Date d'inscription   Statut Membre Dernière intervention   89
 
re,

avec hijack this coche ceci :

O4 - HKLM\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKCU\..\Run: [Error Safe Free] C:\Program Files\ErrorSafe Free\uers.exe /scan
O4 - HKCU\..\Run: [uerscw] "C:\Program Files\ErrorSafe Free\uerscw.exe" -c
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Program Files\ErrorSafe Free\uers.exe" /min
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: Smart Card Client - Unknown owner - C:\WINDOWS\SCardClnt.exe (file missing)

quitte tes applications et navigateur et fix les lignes ci dessus.


click sur demarrer>executer> tape services.msc dans la fenetre des services arrtes ces services :

Service: ms hexidecimal defx (mshexdefx)
Service: Smart Card Client

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\Program Files\ErrorSafe Free\uerscw.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\iexplore.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\explorer.exe
C:\WINDOWS\System32\spoolsvc.exe
C:\WINDOWS\System32\winamp.exe
C:\Program Files\ErrorSafe Free\uers.exe
C:\Program Files\ErrorSafe Free

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

quand tu auras fais ceci

¤ Télécharge Clean
----> http://www.malekal.com/download/clean.zip

Dézippe tout le contenu dans le même dossier. Double clic sur clean ou clean.cmd choisissez l'option 1.
Un rapport va s'ouvrir, copie et colle le contenu ici

et

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

post le rapport de ot move it, celui de clean, smithfraudfix et un nouveau hijack this

bonne fin de soirée, je vais faire aller me plonger dans les bras de morphée

@+

0
gail_12
 
Merci beaucoup,

Effectivement tu en as mis plus que moi ...
En plus, je lis et le mauvais rapport (l'ancien, c'est pour ça que je voyais pas la ligne O20) et une ligne sur 2, parce que << ms hexidecimal defx >>, je l'avais vu dans les services, mais pas là !!! ...

J'ai tout compris jusqu'à OTMoveIt inclus (je l'ai déjà utilisé l'autre jour) ; pour le reste, je regarderai après plus en détail.

Est-ce indispensable que j'arrête mes grosses applications, comme VLC ou adsltv ??? Je les lance dès le départ à cause de mon ventilo.

Bonne nuit et merci encore.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses