Pics12.zip MSN messenger

Résolu
cicatrace Messages postés 22 Date d'inscription   Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

Quelqu'un a téléchargé le fichier pics12.zip (qui contient pics12.exe) sur mon ordinateur à partir de MSN messenger. Maintenant, ce virus fait lagger mon PC quand je suis sur MSN messenger en essayant de s'envoyer lui-même à tous mes contacts... Quand ça arrive, la seule chose que je puisse faire pour que ça arrête c'est ctrl + alt + delete et fermer msnmsgr.

J'ai essayé tous ces scans en mode sans échec: Avast Cleaner, Ad-Aware, Spybot, AntiVir, aswclnr et MSNFix. Aucun d'entre eux ne fonctionne sauf MSNfix qui découvre bien le fichier en question et le met en quarantaine. Le problème c'est que le fichier semble se recréer (dans le C:WINDOWS) à chaque fois que je redémarre mon PC. Donc je le supprime manuellement quand j'ouvre mon PC, mais ça ne semble pas suffir puisque même si ce fichier est éffacé, le même phénomène se produit quand je suis loggé sur MSN.

Bref, je ne sais plus du tout quoi faire à part venir demander l'aide à des connaisseurs ^^ J'espère que vous saurez m'aider.

Merci de m'avoir lu,

Cicatrace
Configuration: Windows XP
Internet Explorer 7.0


EDIT: Voici un résultat de Hijackthis, je ne sais pas si ça peut vous aider à m'aider:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 01:34:53, on 2007-11-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MultiRes\MultiRes.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Simon\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://qc.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Program Files\Video ActiveX Object\pmsngr.exe
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - http://www.dieselstation.com/wallpapers/Lexus-IS300/Lexus-IS300-038.jpg
O24 - Desktop Component 1: Ma page d'accueil - About:Home

--
End of file - 7605 bytes

39 réponses

  • 1
  • 2
Résumé de la discussion

Un malware associé à pics12.zip contenant pics12.exe, téléchargé via MSN Messenger, entraîne des lenteurs et s’auto‑envoie aux contacts lorsque l’utilisateur est en ligne, à chaque connexion. Plusieurs outils ont été utilisés en mode sans échec, mais seuls MSNFix parviennent à mettre en quarantaine le fichier, qui semble se recréer au démarrage, nécessitant une suppression manuelle répétée. Des rapports HijackThis indiquent des entrées et processus incongrus, et les échanges évoquent des modifications de pages d’accueil et de paramètres IE, suggérant un nettoyage approfondi et la prudence sur les programmes démarrés. Pour autant, des conseils portent sur la configuration du pare‑feu et des règles d’accès, des mesures sur l’usage prudent d’outils externes et l’obtention de rapports pour vérifier la présence de traces.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut cicatrice,

    peux tu poster le rapport de msnfix ici stp

    puis tu as une autre infection :

    télécharges smitfraudfix :

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
    cela vas générer un rapport.

    Copie/colle le rapport sur le forum stp.

    @+
    0
  2. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Voici un rapport en mode normal et un en mode sans échec:

    MSNFix 1.591

    D:\Simon\MSNFix
    Fix exécuté le 2007-11-23 - 21:08:33,37 By Simon
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\pics12.zip

    ************************ MSNCHK ***** /!\ beta test /!\

    ************************ Recherche les dossiers présents

    ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\pics12.zip

    ************************ Suppression des dossiers

    .. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2007-11-23_21085948.zip

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------

    MSNFix 1.591

    D:\Simon\MSNFix
    Fix exécuté le 2007-11-23 - 23:15:08,17 By Lyne
    mode sans échec

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\pics12.zip

    ************************ MSNCHK ***** /!\ beta test /!\

    ************************ Recherche les dossiers présents

    ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\pics12.zip

    ************************ Suppression des dossiers

    .. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2007-11-23_23154420.zip

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------

    Et le rapport de SmitFraudFix:

    SmitFraudFix v2.253

    Rapport fait à 3:37:43,76, 2007-11-24
    Executé à partir de C:\Documents and Settings\Simon\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MultiRes\MultiRes.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Simon\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\SIMON\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="http://www.dieselstation.com/wallpapers/Lexus-IS300/Lexus-IS300-038.jpg"
    "SubscribedURL"="http://www.dieselstation.com/wallpapers/Lexus-IS300/Lexus-IS300-038.jpg"
    "FriendlyName"=""

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
    "Source"=""
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Rustock

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: 3Com 3C920B-EMB-WNM Integrated Fast Ethernet Controller - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.62.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer=192.168.62.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer=192.168.62.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer=192.168.62.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Merci pour l'aide!

    P.S. Je vais bosser, je ne pourrai pas vous répondre avant ce soir.
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    bon,

    msnfix trouve le fichier C:\WINDOWS\pics12.zip et le supprime

    par contre smitfraudfix n´as pas reussie a supprimer l´autre infection...

    vu ici :

    O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Program Files\Video ActiveX Object\pmsngr.exe

    O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    0
  4. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    En effet, MSNFix trouve toujours le fichier mais quand je redémarre le fichier est réapparu :(

    Voici le rapport de ComboFix:

    ComboFix 07-11-19.3 - Simon 2007-11-24 3:47:11.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.269 [GMT -5:00]
    Running from: C:\Documents and Settings\Simon\Bureau\ComboFix.exe
    * Created a new restore point
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2007-10-24 to 2007-11-24 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-24 03:37 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-11-24 03:37 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-11-24 03:37 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-11-24 03:37 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-11-24 03:37 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-11-24 03:37 1,742 --a------ C:\WINDOWS\system32\tmp.reg
    2007-11-24 03:37 0 --a------ C:\WINDOWS\system32\tmp.txt
    2007-11-23 23:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-11-23 23:21 <REP> d-------- C:\Program Files\Windows Live
    2007-11-23 23:21 <REP> d--hs---- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2007-11-23 23:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2007-11-23 23:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-12 19:04 <REP> d--hs---- C:\FOUND.027
    2007-11-12 11:23 <REP> d--hs---- C:\FOUND.026
    2007-11-08 17:00 <REP> d--hs---- C:\FOUND.025
    2007-11-05 05:41 <REP> d-------- C:\Program Files\uTorrent
    2007-11-04 06:19 <REP> d-------- C:\Program Files\TryMedia
    2007-10-24 23:03 <REP> d--hs---- C:\FOUND.024

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-23 08:07 102,664 ----a-w C:\WINDOWS\system32\drivers\tmcomm.sys
    2007-11-23 05:22 716,800 ----a-w C:\WINDOWS\system32\NTSpool.exe
    2007-10-25 16:56 8,510,976 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
    2007-10-22 00:36 --------- d-----w C:\Documents and Settings\Simon\Application Data\SEGA
    2007-10-22 00:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Trymedia
    2007-10-21 21:18 --------- d-----w C:\Documents and Settings\Simon\Application Data\Azureus
    2007-10-21 21:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Azureus
    2007-10-21 21:16 --------- d-----w C:\Program Files\Azureus
    2007-10-21 07:18 --------- d-----w C:\Program Files\Full Tilt Poker
    2007-10-18 16:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
    2007-10-10 08:33 --------- d-----w C:\Documents and Settings\Simon\Application Data\uTorrent
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"="" []
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
    "AtiPTA"="atiptaxx.exe" [2005-11-22 20:05 C:\WINDOWS\system32\atiptaxx.exe]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:49]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00]

    C:\Documents and Settings\Simon\Menu D‚marrer\Programmes\D‚marrage\
    MultiRes.lnk - C:\Program Files\MultiRes\MultiRes.exe [2006-01-09 08:56:52]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2006-06-12 03:08:59]
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

    R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys
    R1 atitray;atitray;\??\C:\Program Files\Radeon Omega Drivers\v3.8.231\ATI Tray Tools\atitray.sys
    S3 ADM8511;Convertisseur USB vers Fast Ethernet ADMtek ADM8511/AN986;C:\WINDOWS\system32\DRIVERS\ADM8511.SYS
    S3 cel90xbe;cel90xbe;\??\C:\DOCUME~1\Simon\LOCALS~1\Temp\cel90xbe.sys

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
    \Shell\AutoRun\command - H:\autoplay.exe

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-11-24 00:40:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-24 03:48:12
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-24 3:48:31
    .
    --- E O F ---
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Rebonjour,

    Comme je croyais, le fichier s'est recréé dans C:Windows quand j'ai redémarré mon PC. J'ai donc fait un autre MSNFix, voici le rapport:

    MSNFix 1.591

    D:\Simon\MSNFix
    Fix exécuté le 2007-11-24 - 4:04:38,67 By Simon
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\pics12.zip

    ************************ MSNCHK ***** /!\ beta test /!\

    ************************ Recherche les dossiers présents

    ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\pics12.zip

    ************************ Suppression des dossiers

    .. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2007-11-24_ 4050557.zip

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Steam"=-

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    note : il y a une ligne blanche a la fin et regedit4 doit etre sur la premiere ligne

    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-click sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Program Files\Video ActiveX Object\pmsngr.exe
    C:\Windows\System32\NTSpool.exe

    Click sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    click sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    post le rapport de ot_move it

    et post le rapport de ce logiciel :

    Télécharge ComboScan sur ton Bureau click sur download file en bas de page

    -> http://www.geekstogo.com/forum/files/

    Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
    Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
    Soit patient...
    Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.

    Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.

    @+
    0
  8. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Re, Voici le résultat de MoveIt:

    File/Folder C:\Program Files\Video ActiveX Object\pmsngr.exe not found.
    C:\Windows\System32\NTSpool.exe moved successfully.

    Created on 11-24-2007 13:47:24

    Et le rapport de DSS:

    Deckard's System Scanner v20071014.68
    Run by Simon on 2007-11-24 13:54:26
    Computer is in Normal Mode.
    --------------------------------------------------------------------------------

    -- System Restore --------------------------------------------------------------

    Successfully created a Deckard's System Scanner Restore Point.

    -- Last 5 Restore Point(s) --
    48: 2007-11-24 18:54:31 UTC - RP794 - Deckard's System Scanner Restore Point
    47: 2007-11-24 08:46:49 UTC - RP793 - ComboFix created restore point
    46: 2007-11-24 04:46:48 UTC - RP792 - Spybot-S&D Spyware removal
    45: 2007-11-24 04:21:54 UTC - RP791 - Installed Windows Live
    44: 2007-11-24 04:21:37 UTC - RP790 - Installé Windows Live installer

    -- First Restore Point --
    1: 2007-10-12 21:46:41 UTC - RP747 - Point de vérification système

    Backed up registry hives.
    Performed disk cleanup.

    [color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color]

    -- HijackThis (run as Simon.exe) -----------------------------------------------

    Unable to find log (file not found); running clone.
    -- HijackThis Clone ------------------------------------------------------------

    Emulating logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 2007-11-24 13:59:13
    Platform: Windows XP Service Pack 2 (5.01.2600)
    MSIE: Internet Explorer (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\MultiRes\MultiRes.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\Simon\Bureau\dss.exe
    C:\Program Files\Trend Micro\HijackThis\Simon.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://qc.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
    O20 - Winlogon Notify: AtiExtEvent - C:\WINDOWS\system32\Ati2evxx.dll
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O24 - Desktop Component 0: - http://www.dieselstation.com/wallpapers/Lexus-IS300/Lexus-IS300-038.jpgO24 - Desktop Component 1: Ma page d'accueil -
    0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour cicatrice,

    avant d´aller plus loin peux tu faire analyser ceci :

    C:\WINDOWS\system32\Ati2evxx.dll

    sur ce site et me poster le resultat :

    https://www.virustotal.com/gui/

    ou celui la (selon disponibilité )

    http://virusscan.jotti.org/de/

    @+
    0
  10. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Bonjour, il me semble que c'est un fichier pour les drivers de ma carte graphique ATI, mais tu connais ça plus que moi héhé :)

    Voici le résultat de Virustotal:

    Fichier ati2evxx.exe reçu le 2007.11.25 20:31:47 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

    Résultat: 0/32 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 2.
    L'heure estimée de démarrage est entre 42 et 60 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.11.24.0 2007.11.23 -
    AntiVir 7.6.0.34 2007.11.25 -
    Authentium 4.93.8 2007.11.24 -
    Avast 4.7.1074.0 2007.11.25 -
    AVG 7.5.0.503 2007.11.25 -
    BitDefender 7.2 2007.11.25 -
    CAT-QuickHeal 9.00 2007.11.24 -
    ClamAV 0.91.2 2007.11.25 -
    DrWeb 4.44.0.09170 2007.11.25 -
    eSafe 7.0.15.0 2007.11.21 -
    eTrust-Vet 31.3.5324 2007.11.24 -
    Ewido 4.0 2007.11.25 -
    FileAdvisor 1 2007.11.25 -
    Fortinet 3.14.0.0 2007.11.25 -
    F-Prot 4.4.2.54 2007.11.25 -
    F-Secure 6.70.13030.0 2007.11.25 -
    Ikarus T3.1.1.12 2007.11.25 -
    Kaspersky 7.0.0.125 2007.11.25 -
    McAfee 5170 2007.11.23 -
    Microsoft 1.3007 2007.11.25 -
    NOD32v2 2684 2007.11.25 -
    Norman 5.80.02 2007.11.23 -
    Panda 9.0.0.4 2007.11.25 -
    Prevx1 V2 2007.11.25 -
    Rising 20.19.61.00 2007.11.25 -
    Sophos 4.23.0 2007.11.25 -
    Sunbelt 2.2.907.0 2007.11.24 -
    Symantec 10 2007.11.25 -
    TheHacker 6.2.9.141 2007.11.24 -
    VBA32 3.12.2.5 2007.11.23 -
    VirusBuster 4.3.26:9 2007.11.25 -
    Webwasher-Gateway 6.0.1 2007.11.25 -
    Information additionnelle
    File size: 405504 bytes
    MD5: bba22521d24625c7a7b8d57fb20a812e
    SHA1: 605ac9290e317fc0214fedee5e7ed7d77b8f9b94
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    oui c´etait pour verifier son intergrité

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
    "NTSpool"=-

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

    note : il y a une ligne blanche a la fin et regedit4 doit etre sur la premiere ligne

    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    Télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-click sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Windows\System32\NTSpool.exe

    Click sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    click sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
    Ps : il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    post le rapport de ot_move it et un nouveau hijack this

    O24 - Desktop Component 0: - http://www.dieselstation.com/wallpapers/Lexus-IS300/Lexus-IS300-038.jpg -

    tu as bien ca en fond d´ecran luxus-is300-038.jpg?

    @+
    0
  12. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Re,

    Pour le fond d'écran, habituellement je mets des fonds d'écrans sauvegardés sur mon PC mais je le change régulièrement... Je crois que c'est la photo que j'ai sur MSN messenger!

    Pour le fix.reg, je l'ai accidentellement fait avec Internet explorer ouvert alors j'ai fermé internet et je l'ai refait.

    Voilà le résultat de Ot_move it:

    File/Folder C:\Windows\System32\NTSpool.exe not found.

    Hijack This:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:20:40, on 2007-11-25
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\MultiRes\MultiRes.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Canon\CAL\CALMAIN.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://qc.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{06503A1D-F727-45EE-B243-9C097402885A}: NameServer = 192.168.62.1
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut cicatrice

    a l´aide de hijack this coche et fix ceci :

    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

    comment fixer :

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    puis tu nás pas de par feu : instales en un

    par feu : kerio

    Kerio (pare-feu) : reste gratuit après la période d'essai en français
    ----> http://www.infos-du-net.com/telecharger/Firewall-Kerio-Personal,0301-390.html

    Regarde ce tutoriel si tu as besoin d'aide pour l'installation et la configuration de Kerio
    --> https://kerio.probb.fr/

    Plus d'info :
    ->https://kerio.probb.fr/

    ou zone alarm plus facil a configurer mais moins performant

    http://www.kachouri.com/tuto/tuto-143-zonealarm-installation-du-firewall--pare-feu.html

    tu en est ou avec msn?

    refais un msn fix pour voir

    @+
    0
  14. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Salut g!rly,

    J'ai fixé les 3 fichiers que tu m'as demandé sans problème avec Hijack this.

    Pour MSN, je ne l'utilise que très peu à cause du virus, je ne veux pas contaminer mes contacts... Le fichier pics12.exe continue de se recréer à chaque fois que je démarre mon PC.

    Pour ce qui est du pare-feu, j'utilise celui de Windows et celui de mon Router, ce n'est pas suffisant?

    Voilà le résulat de MSNFix:

    MSNFix 1.591

    D:\Simon\MSNFix
    Fix exécuté le 2007-11-26 - 15:18:38,10 By Simon
    mode normal

    ************************ Recherche les fichiers présents

    Aucun Fichier trouvé

    ************************ Recherche les dossiers présents

    ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Suppression des fichiers

    ************************ Suppression des dossiers

    .. OK ... C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP\

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 2007-11-26_15190354.zip

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    as tu bien configuré ton routeur ?

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
    0
  16. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Bonjour,

    Le router a été configuré par celui qui a monté mon PC il y a 2 ans, il a une petite entreprise de réparation de PCs et il est diplômé donc normalement, oui.

    Voici le résultat de SDFix:

    SDFix: Version 1.115

    Run by Lyne on 2007-11-26 at 16:31

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    No Trojan Files Found

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-26 16:34:57
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "E:\\JEUX\\Warcraft III\\Warcraft III.exe"="E:\\JEUX\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    Files with Hidden Attributes:

    Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
    Wed 18 Jan 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

    Finished!
    0
  17. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Re, j'ai de bonnes nouvelles, du moin je pense !!

    Après avoir posté le précédent message, je suis allé voir dans le C:Windows pour voir si Pics12.zip (qui contient pics12.exe) était toujours là et à ma grande surprise: Non!!

    Donc j'ai redémarré encore pour voir s'il se recréerait, mais non, il n'est plus là! C'est peut-être le Xièm MSNFix qui a finit par l'avoir?

    Simon
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    essaie avec ceci et post le rapport ici stp:

    http://www.livekill.org/plug.html

    @+
    0
  19. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    26 novembre 2007 16:54:36 build 1256

    Microsoft Windows XP Home Edition(fr-FR)
    511 Mo (RAM)
    Last DataBase update : 1.592
    C:\Program Files\LiveKillCleanMessenger
    NORMAL MODE

    Aucun virus n'a été détecté !

    Voilà!

    P.S. Est-ce que je devrais garder tous ces scans que tu m'as fais télécharger pour le futur?

    Simon
    0
  20. g!rly Messages postés 18462 Statut Contributeur 407
     
    non tu peux deja supprimer livekillmessenger

    peux tu refaire msnfix stp

    je sais ca dois te sembler agacant mais...

    @+
    0
  21. cicatrace Messages postés 22 Date d'inscription   Statut Membre
     
    Non non c'est pas agaçant du tout, de l'aide c'est ce dont j'avais besoin. :)

    Je me demande si c'est SDFix ou MSNFix qui l'a eu. Car j'ai essayé MSNFix des dizaines de fois sans succès et là tout d'un coup le fichier arrête de réapparaitre tout seul. C'est bizarre, non? Même si SDFix dit ne rien avoir trouvé, j'ai l'impression que c'est lui qui a règlé le problème, mais je me trompe peut-être.

    MSNFix 1.591

    D:\Simon\MSNFix
    Fix exécuté le 2007-11-26 - 17:19:31,43 By Simon
    mode normal

    ************************ Recherche les fichiers présents

    Aucun Fichier trouvé

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Fichiers suspects

    Aucun Fichier trouvé

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  • 1
  • 2