Win32:Trojan-gen {Other} Résolu

Question

Bonjour,

Je pense que le titre est assez explicite , voila bien 2 semaine que ce trojan m'énerve , tout les jours en allumant mon ordi je suis obligé de le mettre en quarantaine ,
J'ai donc besoin de vous, voici déjà mon hijack log :

Logfile of HijackThis v1.99.1
Scan saved at 16:56:28, on 11/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\ASUS\AASP\1.00.28\aaCenter.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Benji\Bureau\ergfeg\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci d'avance

luc · Answer

Bonjour, essaie le mode sans échec
sinon les méthodes utilisées sur ce post
http://www.commentcamarche.net/forum/affich 1254973 probleme avec win32 trojan gen

^^Marie^^ · Answer

Bonjour neocetras

Fais ce qui suit
Stp

C -  Ccleaner :
 (nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.) 
* Télécharge CCleaner. 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Installe le dans un répertoire dédié. 
Décoche pendant l'installation 
--- les deux cases "Ajouter l'option ... " 
--- Contrôler les mises à jour 
--- Ajouter la Barre d'Outils Yahoo! CCleaner 
* Lance Ccleaner pour un nettoyage complet.
 Tutorial ici: 
 https://kerio.probb.fr/t242-tuto-ccleaner-v-2 
https://www.malekal.com/tutoriel-ccleaner/ 
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

D – Ewido – AVG 
AVG Anti-Spyware : 
https://www.avg.com/en-ww/free-antivirus-download 
Pour Vista : http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

Tu l'installes. 
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Patiente! 
Lance AVG Anti-Spyware 
Clique sur le bouton Analyse (de la barre d'outils) 
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. 
Reviens à l'onglet Analyse. Clique sur Analyse complète du système. 
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" 
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport


E - Scan online avec BitDefender

Fais ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus. 

Téléchargement
https://www.bitdefender.com/toolbox/
Copie/Colle le rapport

Tuto
http://www.malekal.com/tutorial_BitDefender_AntiSpyware.php
https://kerio.probb.fr/t673-bitdefender-antivirus-en-ligne?highlight=tutorial+bitdefender 
http://pageperso.aol.fr/rginformatique/mapage/defender.htm 

F -  Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html 

Bon courage 

A+

Neocetras · Answer

ouarg tout ca ... bien ,je m'y attèle , merci beaucoup

Neocetras · Answer

alors alors : 

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	18:29:47 12/01/2008

 + Résultat de l'analyse:	



:mozilla.12:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.13:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.14:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.16:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Advertising : Nettoyé.
:mozilla.17:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Doubleclick : Nettoyé.
:mozilla.10:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.
:mozilla.9:C:\Documents and Settings\Benji\Application Data\Mozilla\Firefox\Profiles\2iohvy9h.default\cookies.txt -> TrackingCookie.Netflame : Nettoyé.


Fin du rapport

-------------------------------------------------------------------------------------------------------------------------------------------------------------


BitDefender Log File !!!!!
Product : BitDefender Total Security 2008 
Version : BitDefender UIScanner v.11 
Log date : 18:54:59 12/01/2008 
Log path : C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\quick_scan\1200160499_1_00.xml 

Scan Paths:Path0000: C:\WINDOWS 
Path0001: C:\Program Files 


Scan Options:Scan for viruses : Yes 
Scan for adware : Yes 
Scan for spyware : Yes 
Scan for applications : Yes 
Scan for dialers : Yes 
Scan for rootkits : No 


Target selection options:Scan registry keys : No 
Scan cookies : No 
Scan boot sectors : No 
Scan memory processes : No 
Scan archives : No 
Scan runtime packers : Yes 
Scan emails : Yes 
Scan all files : Yes 
Heuristic Scan : Yes 
Scanned extensions :  
Excluded extensions :  


Target ProcessingDefault action for infected objects : Disinfect 
Default action for suspicious objects : None 
Default action for hidden objects : None 


Scan engines summaryNumber of virus signatures : 969460 
Archive plugins : 41 
Email plugins : 6 
Scan plugins : 12 
Archive plugins : 41 
System plugins : 4 
Unpack plugins : 7 


Overall scan summaryScanned items : 58463 
Infected items : 0 
Suspicious items : 0 
Resolved items : 0 
Individual viruses found : 0 
Scanned directories : 2834 
Scanned boot sectors : 0 
Scanned archives : 30 
Input-output errors : 34 
Scan time : 00:00:09:23 
Files per second : 103 


Scanned processes summaryScanned : 0 
Infected : 0 


Scanned registry keys summaryScanned : 0 
Infected : 0 


Scanned cookies summaryScanned : 0 
Infected : 0 


Remaining issues:Object Name Threat Name Final Status 


Resolved issues:Object Name Threat Name Final Status 




---------------------------------------------------------------------------------------------------------------------------------------------------------------

Et enfin le hijack : 

Logfile of HijackThis v1.99.1
Scan saved at 19:47:23, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Logitech\G-series Software\LCDMon.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ASUS\PC Probe II\Probe2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\ASUS\AASP\1.00.28\aaCenter.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Documents and Settings\Benji\Bureau\ergfeg\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet	ools\BitCometBHO_1.1.9.24.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



PS : Apres le scan de bitdefender en redemarrant le pc : impossible d'allez sur internet rien,meme en quittant le programme alors j'ai essayer de le desinstaller: impossible aussi , donc finalement j'ai du faire une restauration system ...

Hum, voila !

Neocetras · Answer

petit up

^^Marie^^ · Answer

Salut

Tu as toujours la visite du trojan à l'ouverture ??

Neocetras · Answer

Oui, et comme toujours je le met en quarantaine avec avast!

^^Marie^^ · Answer

Re

télécharge combofix (par sUBs)ici : 
Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


et enregistre le sur le bureau. 

2 double-clique sur combofix.exe et suis les instructions 

3 à la fin, il va produire un rapport C:\ComboFix.txt 

4 copie/colle ce rapport dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Poste aussi un nouveau rapport Hijackthis.

Neocetras · Answer

Nous avons : Le rapport Combofix : ComboFix 08-01-13.1 - Benji 2008-01-13 11:10:47.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1482 [GMT 1:00] Running from: C:\Documents and Settings\Benji\Bureau\ergfeg\Combo fix\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 )))))))))))))))))))))))))))))))))))) . 2008-01-13 11:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-12 18:42 . 2008-01-12 18:42 d-------- C:\Documents and Settings\Benji\Application Data\BitDefender 2008-01-12 18:41 . 2008-01-12 18:41 d-------- C:\Program Files\BitDefender 2008-01-12 18:41 . 2008-01-12 18:42 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2008-01-12 18:40 . 2008-01-12 19:43 d-------- C:\Program Files\Fichiers communs\BitDefender 2008-01-12 18:06 . 2008-01-12 18:06 d-------- C:\Documents and Settings\Benji\Application Data\Grisoft 2008-01-11 17:20 . 2008-01-12 19:41 d-------- C:\Program Files\SPYWAREfighter 2008-01-07 20:37 . 2008-01-07 20:37 268 --ah----- C:\sqmdata01.sqm 2008-01-07 20:37 . 2008-01-07 20:37 244 --ah----- C:\sqmnoopt01.sqm 2007-12-23 15:51 . 2007-12-23 15:54 d-------- C:\Documents and Settings\Benji\Application Data\U3 2007-12-22 15:01 . 2006-09-20 16:58 40,960 --a------ C:\WINDOWS\system32\psfind.dll 2007-12-22 14:57 . 2007-12-22 14:57 d-------- C:\Program Files\THQ 2007-12-20 16:40 . 2007-07-23 09:39 202,160 --a------ C:\WINDOWS\system32\idmmbc.dll 2007-12-19 15:09 . 2007-12-19 15:09 d-------- C:\Documents and Settings\Benji\Application Data\InstallShield Installation Information 2007-12-19 14:59 . 2007-12-19 14:59 d-------- C:\Program Files\Unreal Tournament 3 2007-12-13 11:26 . 2007-12-13 11:26 d-------- C:\Program Files\OCCT . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-13 10:13 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-13 09:18 --------- d-----w C:\Documents and Settings\Benji\Application Data\IDM 2008-01-13 09:18 --------- d-----w C:\Documents and Settings\Benji\Application Data\DMCache 2008-01-12 18:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-01-12 14:40 --------- d-----w C:\Program Files\Warcraft III 2008-01-08 10:35 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-08 10:35 --------- d-----w C:\Program Files\Activision 2007-12-24 09:54 --------- d-----w C:\Program Files\Internet Download Manager 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr 2007-12-01 21:30 --------- d-----w C:\Program Files\Bullfrog 2007-12-01 10:58 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2007-11-27 19:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-11-27 19:55 --------- d-----w C:\Program Files\Diablo II 2007-11-27 11:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-27 11:05 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-27 08:00 --------- d-----w C:\Program Files\Alwil Software 2007-11-18 19:47 --------- d-----w C:\Program Files\XAudioTools 2007-11-15 17:00 --------- d-----w C:\Program Files\ASUS 2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2007-10-28 13:33 22,400,503 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_28_12_22_12_full.dmp.zip 2007-10-25 16:52 22,331,516 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_25_11_10_40_full.dmp.zip 2007-10-23 07:36 25,615,512 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_22_23_05_31_full.dmp.zip 2007-10-13 21:07 2,561,024 -c--a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2007-10-08 16:09 1,738,510 ----a-w C:\WINDOWS\Internet Logs vDebug.zip 2007-09-08 16:15 2,249,728 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2007-09-08 13:02 920,576 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2007-09-08 13:02 2,241,024 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2007-09-02 17:29 1,485,312 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2006-06-23 06:48 32,768 -c--a-r C:\WINDOWS\inf\UpdateUSB.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-09-03 13:16 67128] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-02 17:25 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 07:36 36864] "36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 09:23 1953792] "Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 11:45 49152 C:\WINDOWS\KHALMNPR.Exe] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 15:37 286720] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008] "nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328] "Ai Nap"="C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe" [2007-04-09 14:49 1423360] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "Launch PC Probe II"="C:\Program Files\ASUS\PC Probe II\Probe2.exe" [2007-01-05 16:36 2129920] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Benji^Menu Démarrer^Programmes^Démarrage^Xfire.lnk] path=C:\Documents and Settings\Benji\Menu Démarrer\Programmes\Démarrage\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-08-22 13:06 167368 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] --a------ 2007-09-03 13:16 67128 C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 11:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-09-02 17:25 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-05-14 23:22 35328 C:\Program Files\Winamp\winampa.exe R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30] R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 03:39] S2 NetCM;Network Connection Manager;C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe [2002-11-10 17:34] S3 naecd;naecd;C:\DOCUME~1\Benji\LOCALS~1\Temp aecd.sys [2001-04-03 22:54] S3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 16:12] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c444-a33c-11dc-a450-0015af0de2d2}] \Shell\AutoRun\command - G:\Eautorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055c3-4e75-11dc-a375-806d6172696f}] \Shell\AutoRun\command - D:\AUTORUN.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-13 11:13:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\Program Files\Logitech\SetPoint\GameHook.dll . Completion time: 2008-01-13 11:14:21 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-13 10:14:20 --------------------------------------------------------------------------------------------------------------------------------------------------------------- Et le Hijack : Logfile of HijackThis v1.99.1 Scan saved at 11:16:16, on 13/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Logitech\G-series Software\LCDMon.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\vsnpstd2.exe C:\Program Files\Logitech\G-series Software\Applets\LCDClock.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\ASUS\PC Probe II\Probe2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe C:\Program Files\Logitech\SetPoint\SetPoint.exe C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE C:\Program Files\ASUS\AASP\1.00.28\aaCenter.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Benji\Bureau\ergfeg\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet ools\BitCometBHO_1.1.9.24.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [Ai Nap] "C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Program Files\ASUS\PC Probe II\Probe2.exe" 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet ools\BitCometBHO_1.1.9.24.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe :)

^^Marie^^ · Answer

Vide ta corbeille
Vide ta quarantaine

Supprime tous les logiciels que je t'ai fait installer
Sauf hijackthis

Neocetras · Answer

Euh ... Comment vide t-on la quarantaine ? '^^

Sinon pour le reste , tout est ok ;)

^^Marie^^ · Answer

Pour vider ta quarantaine: 

Tu fais clique droit sur l'icône, "démarrer avast antivirus". 

Tu vas dans le coffre, tu cliques sur : "Tous les fichiers de la zone quarantaine". 

Tu sélectionnes tous puis clique droit et "supprimer."

Neocetras · Answer

Voila c'est fait , ensuite ?

^^Marie^^ · Answer

Tu as toujours la visite du trojan à l'ouverture ?? 

Supprime tous les logiciels que je t'ai fait passer
Pour compéter
·	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
·	Clique sur Recherche et laisse le scan se terminer.
·	Clique, sur Suppression pour finaliser.
·	Tu peux, si tu le souhaites, te servir des Options facultatives.
·	Clique sur Quitter, pour que le rapport puisse se créer.
·	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Neocetras · Answer

Toujours la visite du trojan, ensuite il y'a écrit : 

-->- Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Benji\Bureau\ergfeg\HijackThis.exe: trouvé !
C:\Documents and Settings\Benji\Bureau\ergfeg\Combo fix\ComboFix.exe: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Benji\Bureau\ergfeg\HijackThis.exe: supprimé !
C:\Documents and Settings\Benji\Bureau\ergfeg\Combo fix\ComboFix.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !


Voila

^^Marie^^ · Answer

Lance

A - ad-aware version 1.06 
http://www.commentcamarche.net/telecharger/telecharger 83 ad aware
Patch en Français
http://www.commentcamarche.net/telecharger/telecharger 237 patch francais pour ad aware
voir démo 
http://pageperso.aol.fr/balltrap34/adwseflash.zip
http://perso.orange.fr/rginformatique/section%20virus/adawrevid.asf 

B - spybot version 1.5
 http://www.commentcamarche.net/telecharger/telecharger 122 spybot

section virus/logiciel de sécurité 
voir demo d utilisation 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/
Pour mettre Spybot en français, tu cliques sur Language en haut à gauche sous Spybot-Search & Destroy et tu choisis French.

Neocetras · Answer

J'ai plus le temps ce soir, je ferais tout ça demain matin !


Pour le moment je tiens quand même a te dire un GRAND MERCI pour m'aider comme tu le fais !

voila , bonne fin de weekend donc et à demain ;)

^^Marie^^ · Answer

ok
De rien
Merci à toi aussi

Neocetras · Answer

Pour AdAware : 

étrangement il ne ma détecté aucun "critical object" alors que le trojan s'est encore montré ce matin

Scan mode: 				Full
Scan time: 				00:12:01
Number of objects scanned: 		261216
Number of infections found: 		44
   Critical: 				0
   Privacy Objects: 			44
Infections deleted: 			44
Total infections quarantined: 		0
Total infections ignored by scanner:  	0

------------------------------------------------------------------------------------------------------------------------------------------------------------------

Pour Spybot : Aucun mouchard trouver ...

^^Marie^^ · Answer

Tu peux me faire un imprimEcran et me coller l'image ici de ton trojan ??

NeoCetras · Answer

https://imageshack.com/

Voila voila

^^Marie^^ · Answer

Me gonfle ton truc ;;)) lol
Tu as passé Spybot en Mode sans Echec ?

NeoCetras · Answer

Erf je dois avoir l'air un peu kéké mais, comment fait-on ? :s
J'ai du mal chercher sur le net, je ne trouve aucune explication '^^

^^Marie^^ · Answer

2 Redémarre en mode sans échec. 
Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. 
Démarre l'ordinateur. 
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyez sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. 
En utilisant les touches du curseur, sélectionne Mode sans échec et appuyez sur Entrée.

NeoCetras · Answer

loool aaaah redémarrer windows en sans échec '^^ oui effectivement je suis kéké , je croyais "démarrer Spybot en mode sans échec" ''''^^


Hop, je m'y met ^^

NeoCetras · Answer

Résultat : 2 cookies retiré ... c'est tout :s

^^Marie^^ · Answer

Télécharge VundoFix.exe (par Atribune) sur ton Bureau. 
http://www.atribune.org/ccount/click.php?id=4 

* Double-clique VundoFix.exe afin de le lancer. 
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo 
* Clique sur le bouton Scan for Vundo. 
* Lorsque le scan est complété, clique sur le bouton Remove Vundo 
* Une invite te demandera si tu veux supprimer les fichiers, clique YES 
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers. 
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK 
* Démarre ton PC à nouveau. 
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt 


Télécharge VirtumundoBegone sur le bureau: 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse 


ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

NeoCetras · Answer

Vundofix, a rien trouvé,et pour VirtumondoBegone pareil : 
[01/14/2008, 18:21:08] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benji\Bureau\ergfeg\VirtumondoBegone\VirtumundoBeGone.exe" )
[01/14/2008, 18:21:17] - Detected System Information:
[01/14/2008, 18:21:17] -  Windows Version: 5.1.2600, Service Pack 2
[01/14/2008, 18:21:17] -  Current Username: Benji (Admin)
[01/14/2008, 18:21:17] -  Windows is in NORMAL mode.
[01/14/2008, 18:21:17] - Searching for Browser Helper Objects:
[01/14/2008, 18:21:17] -  BHO 1: {0055C089-8582-441B-A0BF-17B458C2A3A8} (IDMIEHlprObj Class)
[01/14/2008, 18:21:17] -  BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/14/2008, 18:21:17] -  BHO 3: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} (BitComet Helper)
[01/14/2008, 18:21:17] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/14/2008, 18:21:17] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[01/14/2008, 18:21:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/14/2008, 18:21:17] -  No filename found. Continuing.
[01/14/2008, 18:21:17] -  BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/14/2008, 18:21:17] -  BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[01/14/2008, 18:21:17] - Finished Searching Browser Helper Objects
[01/14/2008, 18:21:17] - Finishing up...
[01/14/2008, 18:21:17] - Nothing found! Exiting...


Mais en même temps mon trojan comme d'ab au démarrage du pc je l'ai mis en quarantaine avec avast!, est-ce que c'est pour ça ?

NeoCetras · Answer

alors ????

^^Marie^^ · Answer

Au lieu de le mettre en quarantaine, supprime le et vide le coffre.

NeoCetras · Answer

Bon c'est ce que j'ai fais aujourd'hui , demain au démarrage du pc je te dirais si il est toujours présent ou pas

^^Marie^^ · Answer

ok

NeoCetras · Answer

Argh, cette s****ie est toujours présente au démarrage :'(

Pourtant je ne vois pas qu'elle répercussion elle a sur mon pc, que fait-elle au juste ?

afideg · Answer

Coucou Marie,

Est-ce toujours la même localisation du fichier responsable de l'alerte ?

Salut  NeoCetras  ==> connais-tu ce logiciel, et t'en sers-tu ? ==> Tu le trouves via "Poste de travail" > disque local C:\ > "Program Files"\"Common Files"\"Microsoft Shared" > Speech
Et c'est quoi ce "Wab64" ?

Merci
Al.

^^Marie^^ · Answer

Coucou Al. -- Merci

afideg · Answer

(suite)

De rien Marie; amitiés.

Je remarque aussi 2 choses:


A)- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-09-03 13:16 67128] 

BackWeb est un outil client-serveur.
-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc.... 

-C'est un prog espion qui soi-disant sert à faire des mises à jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour. 
-Mais il peut aussi se trouver dans d'autres programmes. 
-Le problème majeur étant qu'il provoque une faille de sécurité. 

-• Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs: 
-Désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » >  "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra. 
- Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.
- Les mises à jour de logiciels "Logitech" se font aisément à partir des progs eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de soucis de ce côté.
Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html > qui stipule que si l’on supprime le processus BackWeb « IadHide3.dll » , cela interrompera le téléchargement automatique des mises à jour. Pour lesquelles, il est inutile qu’elles soient en automatique !!



B)- • [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] 
\Shell\AutoRun\command - G:\LaunchU3.exe 
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c4 44-a33c-11dc-a450-0015af0de2d2}] 
\Shell\AutoRun\command - G:\Eautorun.exe 
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055 c3-4e75-11dc-a375-806d6172696f}] 
\Shell\AutoRun\command - D:\AUTORUN.EXE 

As-tu des disques externes/amovibles ( DD, clés USB, GSM, ...) ?

Si oui, fais ceci:
Télécharge l'outil Flash_Disinfector de sUBs: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 

Enregistre Flash_Disinfector.exe sur ton bureau. 
Double clique sur Flash_Disinfector.exe pour l'exécuter. 
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra, connecte au PC: clé USB, DD externes, susceptibles d'avoir été infectés. 
ATTENTION: Ne jamais faire double-clic pour ouvrir disque externe ==> faire plutôt "clic-droit", puis "ouvrir".
Puis clic sur [Ok] 
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!] 
Appuies ensuite sur OK, pour faire réapparaitre le bureau. 



C)- Il faudra ensuite probablement utliser SDFix ou DrWeb. J'attends informations de l'internaute.


Bonne chance
Al.

NeoCetras · Answer

Let's go je m'y met immédiatement !

NeoCetras · Answer

(Dsl pour le flood : si presser de répondre, j'en ai oublier de me connecter et donc je peu pas éditer le message d'avant '^^)

Donc, non je n'ai pas de Disque dur externe,ni de clef usb , ensuite j'ai bien effacer ce logiciel Logitech Desktop Messenger

Et enfin : Paré  pour la suite des opérations chef !

afideg · Answer

(suite)

OK
Merci

Fais ceci SVP
 
A)- Vérifie que ce service NetCM = Network Connection Manager est déjà bien désactivé ou arrêté .(S2 = il devrait être stoppé)
Tuto en image ici : https://www.zebulon.fr/dossiers/windows/31-services.html  


B)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe  

1°- Désactiver la restauration système. 
( Clic sur « Démarrer » 
Clic droit sur « Poste de travail », puis sur « Propriétés », 
Vas sur l’onglet « Restauration système » 
Tu y coches la case « Désactiver la restauration » 
Termine par [Appliquer] ) 

2°- Double-cliquer sur OTMoveIt.exe pour le lancer. 
-copier/coller les deux lignes en gras ci-dessous ... : 

C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll
C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe

- ... dans le cadre de gauche de _OTMoveIt: " Paste List of Files/Folders to be moved ".

(La case Unregister Dll's and OCX's doit être cochée.) ==>   Astuce: 
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ...   ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt

-clique sur MoveIt! pour lancer la suppression. 
-le résultat apparaitra dans le cadre "Results". 
-clique sur "Exit" pour fermer. 
-un rapport est situé dans C:\_OTMoveIt\MovedFiles. 
Poste-le SVP, merci 


3°-Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. 
Si c'est le cas accepte par Yes. Sinon, fais-le.
 
4°- Réactiver la restauration système 
( Clic droit sur poste de travail puis, 
propriétés, tu cliques sur onglet restauration système 
tu décoches la case « désactiver la restauration » et [appliquer]. )


5°- Relance une analyse avec ComboFix, comme ceci:

Il faut supprimer la version précédente, si ce n'est déjà fait (#16).

Télécharge ComboFix.exe (par sUBs) sur ton Bureau: 
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe  > 
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites. 
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. 
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau. 

Tu copies et colles ce rapport sur le forum


Bonne chance
Al.

NeoCetras · Answer

C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe moved successfully. File/Folder C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll not found. Created on 01/16/2008 19:04:00 ---------------------------------------------------------------------------------------------------------------------------------------------------------------- ComboFix 08-01-16.4 - Benji 2008-01-16 19:06:21.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1463 [GMT 1:00] Running from: C:\Documents and Settings\Benji\Bureau\ergfeg\Combofix\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-16 to 2008-01-16 )))))))))))))))))))))))))))))))))))) . 2008-01-16 11:38 . 2008-01-16 11:38 d--h----- C:\WINDOWS\PIF 2008-01-14 18:00 . 2008-01-14 18:00 d-------- C:\VundoFix Backups 2008-01-14 09:29 . 2008-01-14 17:57 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-01-13 18:22 . 2008-01-13 18:23 d-------- C:\Program Files\Lavasoft 2008-01-13 18:22 . 2008-01-14 09:08 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-01-13 14:46 . 2008-01-13 14:46 d-------- C:\Documents and Settings\Benji\Application Data\Microsoft Games 2008-01-13 13:49 . 2008-01-13 13:49 d-------- C:\Program Files\Microsoft Games 2008-01-13 11:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-12 18:42 . 2008-01-12 18:42 d-------- C:\Documents and Settings\Benji\Application Data\BitDefender 2008-01-12 18:41 . 2008-01-12 18:41 d-------- C:\Program Files\BitDefender 2008-01-12 18:41 . 2008-01-12 18:42 d-------- C:\Documents and Settings\All Users\Application Data\BitDefender 2008-01-12 18:40 . 2008-01-12 19:43 d-------- C:\Program Files\Fichiers communs\BitDefender 2008-01-12 18:06 . 2008-01-12 18:06 d-------- C:\Documents and Settings\Benji\Application Data\Grisoft 2008-01-11 17:20 . 2008-01-12 19:41 d-------- C:\Program Files\SPYWAREfighter 2008-01-07 20:37 . 2008-01-07 20:37 268 --ah----- C:\sqmdata01.sqm 2008-01-07 20:37 . 2008-01-07 20:37 244 --ah----- C:\sqmnoopt01.sqm 2007-12-23 15:51 . 2007-12-23 15:54 d-------- C:\Documents and Settings\Benji\Application Data\U3 2007-12-22 15:01 . 2006-09-20 16:58 40,960 --a------ C:\WINDOWS\system32\psfind.dll 2007-12-22 14:57 . 2007-12-22 14:57 d-------- C:\Program Files\THQ 2007-12-20 16:40 . 2007-07-23 09:39 202,160 --a------ C:\WINDOWS\system32\idmmbc.dll 2007-12-19 15:09 . 2007-12-19 15:09 d-------- C:\Documents and Settings\Benji\Application Data\InstallShield Installation Information 2007-12-19 14:59 . 2007-12-19 14:59 d-------- C:\Program Files\Unreal Tournament 3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-16 17:59 --------- d-----w C:\Documents and Settings\Benji\Application Data\DMCache 2008-01-16 17:40 --------- d-----w C:\Program Files\Logitech 2008-01-16 17:28 --------- d-----w C:\Program Files\Warcraft III 2008-01-16 08:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater 2008-01-16 08:24 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-01-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-01-13 17:21 --------- d-----w C:\Documents and Settings\Benji\Application Data\IDM 2008-01-13 13:45 --------- d-----w C:\Program Files\Internet Download Manager 2008-01-13 13:16 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-08 10:35 --------- d-----w C:\Program Files\Activision 2007-12-13 10:26 --------- d-----w C:\Program Files\OCCT 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr 2007-12-01 21:30 --------- d-----w C:\Program Files\Bullfrog 2007-12-01 10:58 139,264 ----a-w C:\WINDOWS\War3Unin.exe 2007-11-27 19:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-11-27 19:55 --------- d-----w C:\Program Files\Diablo II 2007-11-27 11:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-27 11:05 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-27 08:00 --------- d-----w C:\Program Files\Alwil Software 2007-11-18 19:47 --------- d-----w C:\Program Files\XAudioTools 2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2007-10-28 13:33 22,400,503 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_28_12_22_12_full.dmp.zip 2007-10-25 16:52 22,331,516 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_25_11_10_40_full.dmp.zip 2007-10-23 07:36 25,615,512 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_22_23_05_31_full.dmp.zip 2007-10-13 21:07 2,561,024 -c--a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2007-10-08 16:09 1,738,510 ----a-w C:\WINDOWS\Internet Logs vDebug.zip 2007-09-08 16:15 2,249,728 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2007-09-08 13:02 920,576 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2007-09-08 13:02 2,241,024 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2007-09-02 17:29 1,485,312 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2006-06-23 06:48 32,768 -c--a-r C:\WINDOWS\inf\UpdateUSB.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-02 17:25 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 07:36 36864] "36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 09:23 1953792] "Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 11:45 49152 C:\WINDOWS\KHALMNPR.Exe] "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352] "SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496] "SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 15:37 286720] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008] "nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32 wiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328] "Ai Nap"="C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe" [2007-04-09 14:49 1423360] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "Launch PC Probe II"="C:\Program Files\ASUS\PC Probe II\Probe2.exe" [2007-01-05 16:36 2129920] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-17 19:24:30] ASUS WiFi-AP Solo.lnk - C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe [2007-09-02 16:10:44] Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-08-19 18:35:21] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Benji^Menu Démarrer^Programmes^Démarrage^Xfire.lnk] path=C:\Documents and Settings\Benji\Menu Démarrer\Programmes\Démarrage\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-08-22 13:06 167368 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-01-19 11:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-09-02 17:25 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2007-05-14 23:22 35328 C:\Program Files\Winamp\winampa.exe R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30] R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 03:39] S3 naecd;naecd;C:\DOCUME~1\Benji\LOCALS~1\Temp aecd.sys [] S3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 16:12] S4 NetCM;Network Connection Manager;C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G] \Shell\AutoRun\command - G:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c444-a33c-11dc-a450-0015af0de2d2}] \Shell\AutoRun\command - G:\Eautorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055c3-4e75-11dc-a375-806d6172696f}] \Shell\AutoRun\command - D:\AUTORUN.EXE *Newly Created Service* - SJYPKT . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-16 19:06:57 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\Program Files\Logitech\SetPoint\GameHook.dll . Completion time: 2008-01-16 19:07:09 ComboFix2.txt 2008-01-13 10:14:21 Pour OTMoveit la haut , si il n'a pas trouver C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll (***) c'est sans doute parce que comme d'habitude j'ai supprimer le trojan au démarrage du pc avec avast!, Est-ce qu'il vaut mieux que je ressaye en désactivant avast! au démarrage du pc ? comme ça le fichier n'est pas touché et je pourrais alors définitivement le supprimer ! ... non ? (***Petite précision , je ne sais pas du tout ce que c'est que ce fichier)

afideg · Answer

Re, Désolé pour ce retard; j'étais passé à table. A)- Question: Avec _OTMoveld, avais-tu bien respecté ceci :« La case Unregister Dll's and OCX's doit être cochée.) » ? Merci B)- Au post # 35, j'écrivais ceci: « Salut NeoCetras ==> connais-tu ce logiciel, et t'en sers-tu ? ==> Tu le trouves via "Poste de travail" > disque local C:\ > "Program Files"\"Common Files"\"Microsoft Shared" > Speech Et c'est quoi ce "Wab64" ? » Aussi, accepterais-tu de me répondre ce qu'est ce dossier Speech ? Que contient-il ? ==> copie écran ? SVP. Pour le savoir, fais ceci: Assure toi d'avoir accès aux dossiers/fichiers cachés : Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage" Soit en faisant « Démarrer »/ »PanneauConfiguration/OptionsDossiers /onglet « Affichage » et là : cocher la case devant les lignes: - afficher les fichiers et dossier cachés - afficher contenu dossier système décocher la case devant les lignes: - masquer les extensions des fichiers dont le type est connu - masquer les fichiers protégés du système d'exploitation Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte. Puis cliquer "APPLIQUER à TOUS les Dossiers" > [OK] Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php > Et recherche Speech , via "Poste de travail" > C:\ ...... Dis-moi ce qui'l contient. C)- Attention: Si par l'occasion, tu trouves Wab64.dll; alors, redémarre le PC en Mode sans échec, comme ceci: http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Choisir ta session habituelle, (pas le compte "Administrateur" , ni une autre). Et refais la recherche de Wab64.dll que tu supprimes ensuite (clic-droit > supprimer). D)- Sinon, fais cette recherche,; comme ceci: Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe > •-Enregistre-le sur ton bureau •- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > •- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier , soit Wab64.dll - Type de recherche : sélectionner l'option 6 puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp > •- OAD va maintenant rechercher le fichier. Laisse-le travailler jusqu'à ce qu'il en ait terminé. Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. Patienter. •- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. •- Faire un copier/coller de ce rapport dans ton prochain post. •-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors du téléchargement / utilisation E)- Peux-tu vérifier ceci, SVP : C:\WINDOWS\System32\Drivers\SjyPkt.sys ? ==> *Newly Created Service* - SJYPKT Vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier SjyPkt.sys c'est-à-dire via "Poste de travail" C:\WINDOWS\System32\Drivers\ •- quand tu as trouvé le premier fichier SjyPkt.sys, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier SjyPkt.sys se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse ) - Merci pour ta collaboration Bonne chance Al

afideg · Answer

(suite et fin ==> je vais dormir)

Télécharge le script Silent Runners sur le bureau: https://www.silentrunners.org/Silent%20Runners.vbs  
Double-clique sur le fichier "silentrunners.vbs" : 
(il va travailler, patiente jusqu'à l'affichage d'un message) ; une fenêtre va s'ouvrir ,clique sur "oui" . 
Poste le rapport qui a été généré (normalement sur le bureau).

Note: Si tu as une alerte de ton antivirus au cours du téléchargement, ou au cours de son utilisation au sujet de ce script, n'en tiens pas compte. 

La fin doit ressembler à ceci :

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 104 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 14 seconds.
---------- (total run time: 162 seconds)


Merci
Al.

afideg · Answer

Allo ? Benji ? As-tu encore besoin que l'on essaie de t'aider ? On va vérifier si cette alerte n'est pas un "faux-positif" provoqué par Avast. En effet, Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!). Alors, si tu veux un bon antivirus gratuit, applique ceci: 1)- Télécharger ANTIVIR sur le site de l'éditeur pour avoir la dernière version qui est celle-ci pour xp: < https://www.avira.com/en/free-antivirus-windows > et qui prend en compte la case Rootkit. - En effet, il faut cocher la détection de rootkits --> Search for rootkits..........: doit être [ON] (cocher la case « mode expert »). TUTORIELS : < https://www.astucesinternet.com/modules/news/article.php?storyid=253 > ==> enregistre-le sur ton bureau pour y accéder facilement. - ou < http://www.malekal.com/tutorial_antivir.html > - ou < http://www.libellules.ch/tuto_antivir.php > 2)- Désinstaller AVAST: < https://www.avast.com/fr-fr/uninstall-utility > 3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. 4)- Attention : Sers-toi du tutoriel pour installer ANTIVIR, Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Lancer Antivir en Scan complet ( analyse avancée ) Poster le rapport SVP. L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) puis clic sur « start Antivir » - Cliquer sur l’onglet « scanner » - Vérifier pour « RootKit search » et « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). Reviens-nous avec des réponses, SVP. Reprends bien la lecture des postes depuis : - le #40, dont : A)- Vérifie que ce service NetCM = Network Connection Manager est déjà bien désactivé ou arrêté .(S2 = il devrait être stoppé) - le #42, dont : A)- Question: Avec _OTMoveld, avais-tu bien respecté ceci :« La case Unregister Dll's and OCX's doit être cochée. » ? Merci Merci Al.

^^Marie^^ · Answer

Cela serait bien d'avoir une réponse ;;)
Surtout pour le travail que tu as fourni

NeoCetras · Answer

Absolument dsl beaucoup de travail aujourd'hui, peut enfin me connecter, promis je ne vous abandonnerai pas sans dire merci ^^,

Je dis ça parce que : Au démarrage du pc, à l'instant, plus de message d'avast! ... c'est bon signe non ? :D ( Vous pensez qu'il est quand même nécessaire que j'effectue les opérations que vous m'avez donné a faire ces 2 derniers messages ? )

afideg · Answer

Re,

Reviens-nous avec des réponses, SVP.
 
Reprends bien la lecture des postes depuis : 

- le #40, pour cette question ==>  : A)- Vérifie que ce service NetCM = Network Connection Manager est déjà bien désactivé ou arrêté .(S2 = il devrait être stoppé)
 
- le #42, dont  : A)- Question: Avec _OTMoveld, avais-tu bien respecté ceci :« La case Unregister Dll's and OCX's doit être cochée. » ?  

- ainsi que les postes suivants 

. Merci

NeoCetras · Answer

Dsl,

Donc, NeTCm désactivé,
OTMove case cochée , 
Je sais pas ce que c'est ce dossier speech :/ et il ne contenait rien après avoir fait les manip pour voir les dossiers cacher (j'en ai profité pour le supprimer ce dossier inutile :/) 
J'ai enlever avast et mis Antivir guard 

Par contre je n'ai pas fais : le D) et le E) du #42 et le #43 Maintenant plus le temps puisque doit couper l'ordi donc au plus tôt demain a 17h je m'y met !


En tout cas tout ça pour vous dire encore une fois un grand merci pasque vous vous donnez du mal et c'est très impressionnant !

Puis je ne finirais plus que sur un :

Hop, bonne soirée à vous, à demain ;)

afideg · Answer

Re,

Merci
Parfait
... à suivre donc

Bonne nuit & bon boulot
Al.

NeoCetras · Answer

18/01/2008 ---- 18:54:34,85 ---------------------------------- §§§§§§ [Wab64.dll ] §§§§§§ ---------------------------------- [X] Registre -------------- [ ] rapide -- Fichier --- [ ] disque systeme ------------- [X] complete ******************** [Registre] ******************** Aucune entrée détectée ******************* [Fichier] ******************* ********************* [Même date] ********************* Aucun fichier créé à la même date détecté Outil Aide Diagnostic By !aur3n7 Version 1.1 ---------------------------------- §§§§§ Fin Rapport §§§§§ ---------------------------------- ---------------------------------------------------------------------------------------------------------------------------------------------------------- Fichier avz00004.dta reçu le 2008.01.15 22:23:00 (CET) Situation actuelle: terminé Résultat: 0/32 (0.00%) Formaté Formaté Impression des résultats Impression des résultats Antivirus Version Dernière mise à jour Résultat AhnLab-V3 2008.1.16.10 2008.01.15 - AntiVir 7.6.0.48 2008.01.15 - Authentium 4.93.8 2008.01.13 - Avast 4.7.1098.0 2008.01.14 - AVG 7.5.0.516 2008.01.15 - BitDefender 7.2 2008.01.15 - CAT-QuickHeal 9.00 2008.01.15 - ClamAV 0.91.2 2008.01.15 - DrWeb 4.44.0.09170 2008.01.15 - eSafe 7.0.15.0 2008.01.15 - eTrust-Vet 31.3.5459 2008.01.15 - Ewido 4.0 2008.01.15 - FileAdvisor 1 2008.01.15 - Fortinet 3.14.0.0 2008.01.15 - F-Prot 4.4.2.54 2008.01.14 - F-Secure 6.70.13030.0 2008.01.15 - Ikarus T3.1.1.20 2008.01.15 - Kaspersky 7.0.0.125 2008.01.15 - McAfee 5208 2008.01.15 - Microsoft 1.3109 2008.01.15 - NOD32v2 2794 2008.01.15 - Norman 5.80.02 2008.01.15 - Panda 9.0.0.4 2008.01.15 - Prevx1 V2 2008.01.15 - Rising 20.27.12.00 2008.01.15 - Sophos 4.24.0 2008.01.15 - Sunbelt 2.2.907.0 2008.01.15 - Symantec 10 2008.01.15 - TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.15 - VirusBuster 4.3.26:9 2008.01.15 - Webwasher-Gateway 6.6.2 2008.01.15 - Information additionnelle File size: 13532 bytes MD5: 3d7ef286e806f9bd9339aa52e28dcd67 SHA1: 431d2dd1c273a1bbf59fd50fa277fc0c1ebfb29f PEiD: - Et enfin : "Silent Runners.vbs", revision 55, https://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "swg" = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "JMB36X IDE Setup" = "C:\WINDOWS\RaidTool\xInsIDE.exe" [null data] "36X Raid Configurer" = "C:\WINDOWS\System32\xRaidSetup.exe boot" ["JMicron Technology Corp."] "Launch LCDMon" = ""C:\Program Files\Logitech\G-series Software\LCDMon.exe"" ["Logitech Inc."] "Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."] "SoundMAXPnP" = "C:\Program Files\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."] "SoundMAX" = ""C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."] "SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "SNPSTD2" = "C:\WINDOWS\vsnpstd2.exe" [empty string] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroFilterCheck" = "C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" ["Nero AG"] "NBKeyScan" = ""C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"" ["Nero AG"] "Ai Nap" = ""C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe"" [null data] "avgnt" = ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0055C089-8582-441B-A0BF-17B458C2A3A8}\(Default) = "IDM Helper" -> {HKLM...CLSID} = "IDMIEHlprObj Class" \InProcServer32\(Default) = "C:\Program Files\Internet Download Manager\IDMIECC.dll" ["Tonec Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\(Default) = "BitComet ClickCapture" -> {HKLM...CLSID} = "BitComet Helper" \InProcServer32\(Default) = "C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll" ["BitComet"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration" -> {HKLM...CLSID} = "Extension Affichage Panorama du Panneau de configuration" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office12\msohevi.dll" [MS] "{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler" -> {HKLM...CLSID} = "Microsoft Office Metadata Handler" \InProcServer32\(Default) = "C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler" -> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler" \InProcServer32\(Default) = "C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\msoshext.dll" [MS] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Mes dossiers de partage" \InProcServer32\(Default) = "C:\Program Files\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons" -> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class" \InProcServer32\(Default) = "C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter" \InProcServer32\(Default) = "C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll" ["Nero AG"] {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}" -> {HKLM...CLSID} = "NeroCoverEdContextMenu Class" \InProcServer32\(Default) = "C:\Program Files\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Documents and Settings\Benji\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Startup items in "Benji" & "All Users" startup folders: ------------------------------------------------------- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "ASUS WiFi-AP Solo" -> shortcut to: "C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe /H" ["ASUSTek Computer Inc."] "Logitech SetPoint" -> shortcut to: "C:\Program Files\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\program files\google\googletoolbar1.dll" ["Google Inc."] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{E7A829CC-671F-4C3D-B590-8C0AEA72E6B2}\(Default) = "BitComet Button" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll" ["BitComet"] HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Rechercher" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_03" \InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."] {461CC20B-FB6E-4F16-8FE8-C29359DB100E}\ "ButtonText" = "BitComet Search" {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Research" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: SAFESITE_VALUE="https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fhome.microsoft.com%2fintl%2ffr%2f%3f" Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"] AntiVir PersonalEdition Classic Scheduler, AntiVirScheduler, ""C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"] Google Updater Service, gusvc, ""C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] Nero BackItUp Scheduler 3, Nero BackItUp Scheduler 3, "C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe" ["Nero AG"] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data] StarWind AE Service, StarWindServiceAE, "C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe" ["Rocket Division Software"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- (launch time: 2008-01-18 19:00:54) <>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 158 seconds, including 143 seconds for message boxes) (Ce programme m'a fait freezer quelque secondes ! ce petit sagouin des bermudes ) ^^ Alors, c'est grave docteur ?

afideg · Answer

Salut benji, A)- - Tu as la possibilité de vider le cache Internet de tous ses fichiers temporaires avec ce petit logiciel que tu lances tous les jours à la fin de ta session de travail - ATTENTION redémarre en mode sans échec avant de le lancer < < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >. - Télécharge : ATF-Cleaner < http://www.atribune.org/ccount/click.php?id=1 > Et lance MAINTENANT un nettoyage comme indiqué sur ce Tuto < http://mickael.barroux.free.fr/securite/atf_cleaner.php >. SVP. Merci Je voudrais voir ainsi si ce fichier va disparaître: C:\DOCUME~1\Benji\LOCALS~1\Temp aecd.sys Pour la suite, j'espère que tu as laissé affichés les fichiers et dossiers cachés. B)- Post # 42 je demandais ceci: «Peux-tu vérifier ceci, SVP : C:\WINDOWS\System32\Drivers\SjyPkt.sys ? ==> *Newly Created Service* - SJYPKT Vas là :< https://www.virustotal.com/gui/ > •- sur la page qui s'affiche tu cliques sur "parcourir" •- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier SjyPkt.sys c'est-à-dire via "Poste de travail" C:\WINDOWS\System32\Drivers\ •- quand tu as trouvé le premier fichier SjyPkt.sys, tu fais "ouvrir" ( sur cette dernière page affichée) •- le fichier SjyPkt.sys se retrouve alors ainsi dans la fenêtre de Virustotal, pour l'analyse •- là, tu cliques sur "send file" ( de la page de Virustotal ) •- et tu attends le résultat (il faut parfois patienter) •- que tu postes sur le forum ( par un copier/coller de tout le texte de l’analyse ) - Merci pour ta collaboration » Or, tu as fais analyser Fichier avz00004.dta reçu le 2008.01.15 22:23:00 (CET) Peux-tu recommencer SVP avec : 1°- Ce fichier C:\WINDOWS\System32\Drivers\SjyPkt.sys 2°- Faire la même chose avec: - C:\WINDOWS\System32\idmmbc.dll - C:\WINDOWS\System32\winrnr.dll - C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe - C:\Documents and Settings\Benji\Local Settings\Temp aecd.sys C)- Post # 44 je demandais ceci: « ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >, ensuite lancer Antivir en Scan complet (analyse avancée); une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). » Peux-tu le faire SVP ? Merci. Comment se comporte le PC ? Comment s'est déroulée la mise à jour de Antivir ? à+..

NeoCetras · Answer

Mon pc se comporte largement mieux j'ai l'impression (quand je joue notamment enfaite) et la mise a jour d'antivir s'est déroulée nickel ! 

Pour le reste je commencerais ce soir et je finirais demain matin, donc je donnerais des news a ce moment la, 

En attendant , bonne nuit a tout ceux qui vont se coucher et euh .. vive la vie ;)

afideg · Answer

OK
Merci
À demain donc.

Note: Avec VirusTotal, soit patient. C'est nécessaire. (si tu vois un message comportant "queued", cela veut dire que ta demande est dans une file (queue) d'attente ==> donc laisse faire et attends)

Je compte beaucoup sur Antivir.
Fais toujours une mise à jour avant analyse.

Carpe diem  ;)
Al.

NeoCetras · Answer

C:\WINDOWS\System32\Drivers\SjyPkt.sys :

Fichier avz00004.dta reçu le 2008.01.15 22:23:00 (CET)    (encore une fois :s)

Pour: C:\WINDOWS\System32\idmmbc.dll

Fichier idmmbc.dll reçu le 2008.01.19 11:42:04 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)

Pour: C:\WINDOWS\System32\winrnr.dll 

Fichier winrnr.dll_ reçu le 2008.01.19 11:44:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)

Pour: C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe 

Fichier AiNap.exe_ reçu le 2008.01.19 11:47:21 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)

Pour: C:\Documents and Settings\Benji\Local Settings\Temp
aecd.sys 

0 bytes size received / Se ha recibido un archivo vacio


Maintenant je vais reboot en mode sans échec, faire Antivir scan et vider le cache avec ATF-Cleaner

J'éditerais ce message

afideg · Answer

Salut benji

C:\WINDOWS\System32\Drivers\SjyPkt.sys : 
Fichier avz00004.dta reçu le 2008.01.15 22:23:00 (CET) (encore une fois :s) 

Je suis étonné que la nouvelle analyse VirusTotal de SjyPkt.sys, te livre le même rapport que celui reçu le 2008.01.15 22:23:00

Je pense que tu devrais refaire l'analyse, et me poster la page complète du rapport obtenu.
Mais lors de la recherche du fichier SjyPkt.sys, le vois-tu réellement dans le dossier "Drivers" ?

Merci
Al.

NeoCetras · Answer

Ben oui je le vois,

je vais tout copier coller : 


Le fichier a déjà été analysé:
MD5: 	3d7ef286e806f9bd9339aa52e28dcd67
Date 	2008.01.15 22:26:32 (CET) [>3D]
Résultats 	0/32
Permalink: 	analisis/97ee78748ef8e0819a146a6b4ab885bf


 Fichier avz00004.dta reçu le 2008.01.15 22:23:00 (CET)
Situation actuelle: terminé
Résultat: 0/32 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.1.16.10 	2008.01.15 	-
AntiVir 	7.6.0.48 	2008.01.15 	-
Authentium 	4.93.8 	2008.01.13 	-
Avast 	4.7.1098.0 	2008.01.14 	-
AVG 	7.5.0.516 	2008.01.15 	-
BitDefender 	7.2 	2008.01.15 	-
CAT-QuickHeal 	9.00 	2008.01.15 	-
ClamAV 	0.91.2 	2008.01.15 	-
DrWeb 	4.44.0.09170 	2008.01.15 	-
eSafe 	7.0.15.0 	2008.01.15 	-
eTrust-Vet 	31.3.5459 	2008.01.15 	-
Ewido 	4.0 	2008.01.15 	-
FileAdvisor 	1 	2008.01.15 	-
Fortinet 	3.14.0.0 	2008.01.15 	-
F-Prot 	4.4.2.54 	2008.01.14 	-
F-Secure 	6.70.13030.0 	2008.01.15 	-
Ikarus 	T3.1.1.20 	2008.01.15 	-
Kaspersky 	7.0.0.125 	2008.01.15 	-
McAfee 	5208 	2008.01.15 	-
Microsoft 	1.3109 	2008.01.15 	-
NOD32v2 	2794 	2008.01.15 	-
Norman 	5.80.02 	2008.01.15 	-
Panda 	9.0.0.4 	2008.01.15 	-
Prevx1 	V2 	2008.01.15 	-
Rising 	20.27.12.00 	2008.01.15 	-
Sophos 	4.24.0 	2008.01.15 	-
Sunbelt 	2.2.907.0 	2008.01.15 	-
Symantec 	10 	2008.01.15 	-
TheHacker 	6.2.9.187 	2008.01.13 	-
VBA32 	3.12.2.5 	2008.01.15 	-
VirusBuster 	4.3.26:9 	2008.01.15 	-
Webwasher-Gateway 	6.6.2 	2008.01.15 	-
Information additionnelle
File size: 13532 bytes
MD5: 3d7ef286e806f9bd9339aa52e28dcd67
SHA1: 431d2dd1c273a1bbf59fd50fa277fc0c1ebfb29f
PEiD: -



le lien même : http://www.virustotal.com/fr/analisis/97ee78748ef8e0819a146a6b4ab885bf



Pour l'analyse Antivir, en une demi heure elle a fait que 10 % du disque dur, donc j'ai stoppé et je l'a referais plutot dans l'après-midi quand j'aurai plus rien a faire sur mon ordi, j'ai encore quelque truc a régler au plus tôt dessus :s...


Je voulais juste savoir, le trojan est parti, non ?

afideg · Answer

Re,

Nous sommes le 19 janvier !
Je lis ceci pour la 3ème fois :  
« Date 2008.01.15 22:26:32 (CET) [>3D] Résultats 0/32 
Fichier avz00004.dta reçu le 2008.01.15 22:23:00 »

Moi, je demande ==> relire post #55, SVP. Merci

NeoCetras · Answer

Argh , c'est parce qu'il fallait, après que j'envoi mon fichier, cliquer sur REanalyser ... c'est pour ça '^^

Mais bon , finalement le résultat est le même :

Fichier SjyPkt.sys reçu le 2008.01.19 17:39:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)

afideg · Answer

... et me poster la page complètedu rapport obtenu.

Begrijt-U ??


Je compte beaucoup sur Antivir. 
Fais toujours une mise à jour avant analyse.

NeoCetras · Answer

Page complete : 

 Fichier SjyPkt.sys_ reçu le 2008.01.20 10:14:41 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
en train de charger les informations du serveur...

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3	2008.1.19.10	2008.01.18	-
AntiVir	7.6.0.48	2008.01.20	-
Authentium	4.93.8	2008.01.20	-
Avast	4.7.1098.0	2008.01.20	-
AVG	7.5.0.516	2008.01.19	-
BitDefender	7.2	2008.01.20	-
CAT-QuickHeal	9.00	2008.01.19	-
ClamAV	0.91.2	2008.01.20	-
DrWeb	4.44.0.09170	2008.01.19	-
eSafe	7.0.15.0	2008.01.16	-
eTrust-Vet	31.3.5470	2008.01.18	-
Ewido	4.0	2008.01.19	-
FileAdvisor	1	2008.01.20	-
Fortinet	3.14.0.0	2008.01.20	-
F-Prot	4.4.2.54	2008.01.19	-
F-Secure	6.70.13260.0	2008.01.19	-
Ikarus	T3.1.1.20	2008.01.20	-
Kaspersky	7.0.0.125	2008.01.20	-
McAfee	5211	2008.01.18	-
Microsoft	1.3109	2008.01.20	-
NOD32v2	2807	2008.01.19	-
Norman	5.80.02	2008.01.18	-
Panda	9.0.0.4	2008.01.19	-
Prevx1	V2	2008.01.20	-
Rising	20.27.61.00	2008.01.20	-
Sophos	4.24.0	2008.01.20	-
Sunbelt	2.2.907.0	2008.01.17	-
Symantec	10	2008.01.20	-
TheHacker	6.2.9.191	2008.01.19	-
VBA32	3.12.2.5	2008.01.19	-
VirusBuster	4.3.26:9	2008.01.20	-
Webwasher-Gateway	6.6.2	2008.01.20	-
Information additionnelle
File size: 13532 bytes
MD5: 3d7ef286e806f9bd9339aa52e28dcd67
SHA1: 431d2dd1c273a1bbf59fd50fa277fc0c1ebfb29f
PEiD: -

hum ... euh ... Begrijt-U ? ???

Sinon, Antivir fais sa MaJ tout seul donc no soucy, et pour les analyses, il me trouve toujours 2 ou 3 fichier infectés **que je supprime immédiatement (** ce sont pas toujours les mêmes fichier qui apparaissent, par analyse)

Je posterai le rapport de l'analyse de staprem

afideg · Answer

Bon dimanche,

Cit. « et pour les analyses ANTIVIR, il me trouve toujours 2 ou 3 fichier infectés **que je supprime immédiatement (** ce sont pas toujours les mêmes fichier qui apparaissent, par analyse)  Je posterai le rapport de l'analyse de staprem  »

Me dire cela ne me sert à rien!
Ce qu'il me faut, c'est un rapport complet des analyses.
Et je constate que tu as eu plusieurs fois l'occasion de me poster un rapport; c'est triste de perdre autant de temps!

Réfléchis un instant, SVP. ==> ne crois-tu pas que le fait que "il me trouve toujours 2 ou 3 fichier infectés ", et que le fait que "ce sont pas toujours les mêmes fichier qui apparaissent" méritent une meilleure attention que de les supprimer aveuglément pour s'en plaindre ensuite ??


Al.

NeoCetras · Answer

Hey hey hey, je me plain pas, c'est pour signaler justement qu'il fait bien sont boulot l'antivir, avec avast! il trouvais quasiment jamais de fichier... 
Et puis techniquement mon Win32 trojan est plus la depuis longtemps donc je ne saisis toujours pas pourquoi je dois continuer toutes ces recherches , les autres fichiers citées sont-ils vraiment des virus ?

NeoCetras · Answer

Rapport de staprem : 



AntiVir PersonalEdition Classic
Report file date: dimanche 20 janvier 2008  13:40

Scanning for 1056958 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    NEODIABLO

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14/12/2007 18:27:01
ANTIVIR2.VDF : 7.0.2.0      948736 Bytes  15/01/2008 18:27:01
ANTIVIR3.VDF : 7.0.2.20     225792 Bytes  18/01/2008 18:19:29
AVEWIN32.DLL : 7.6.0.48    3080704 Bytes  17/01/2008 18:27:01
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  17/01/2008 18:27:01
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 20 janvier 2008  13:40

Starting search for hidden objects.
'37894' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'daemon.exe' - '1' Module(s) have been scanned
Scan process 'BitComet.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'StarWindServiceAE.exe' - '1' Module(s) have been scanned
Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'NBService.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'KHALMNPR.EXE' - '1' Module(s) have been scanned
Scan process 'SetPoint.exe' - '1' Module(s) have been scanned
Scan process 'LCDClock.exe' - '1' Module(s) have been scanned
Scan process 'RtWLan.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'AiNap.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'vsnpstd2.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned
Scan process 'LCDMon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
42 processes with 42 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'E:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '32' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\System Volume Information\_restore{8D6EB656-4876-4976-9E63-9F0D8E110FFE}\RP158\A0045686.exe
      [DETECTION] Contains suspicious code HEUR/Crypted
      [INFO]      The file was moved to '47c34831.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNING]   The file could not be opened!
Begin scan in 'E:\'


End of the scan: dimanche 20 janvier 2008  14:15
Used time: 35:04 min

The scan has been done completely.

   4352 Scanning directories
 257955 Files were scanned
      0 viruses and/or unwanted programs were found
      1 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 257955 Files not concerned
   2033 Archives were scanned
      2 Warnings
      0 Notes
  37894 Objects were scanned with rootkit scan
      0 Hidden objects were found

afideg · Answer

OK

A)- Fais ceci, et tu n'auras plus d'alerte virale/

Désactive ta restauration système  
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration » 
Termine par [Appliquer] [OK]

Arrêter puis redémarrer le PC

Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés », 
Vas sur l’onglet « Restauration système » 
Tu décoches la case « Désactiver la restauration » 
Termine par [Appliquer] [OK]


B)- Cit: « Et puis techniquement mon Win32 trojan est plus la depuis longtemps donc je ne saisis toujours pas pourquoi je dois continuer toutes ces recherches , les autres fichiers citées sont-ils vraiment des virus ? ».

Ce que tu dis là n'est pas aimable!
J'essaie de voir si ton PC est sain, je me décarcasse,  et tu me fais reproche de te faire perdre ton temps pour des prunes!
Pour ton information, si un antivirus détecte un virus, la question ne se pose pas ==> il reste un virus!
Ici, dans ton cas, l'infection signalée est ce qu'il reste dans la restauration du système.
Vide également la QUARANTINE de ANTIVIR; c'est mieux.
Note: Tu prétendais :« il me trouve toujours 2 ou 3 fichier infectés » ==> tu ne m'en as pas apporté la preuve; en effet, je n'en vois qu'un, et encore ==> il n'est que suspect !
C'est pourquoi je ne crois que ce que l'internaute accepte de me communiquer comme information, ou comme rapports d'analyse.




Je ne t'embêterai pas plus longtemps.
Merci pour la leçon.
Bon vent.

Al.

NeoCetras · Answer

Argh ça alors, c'était pas une critique ni une leçon, j'essayais de comprendre la situation, je pensais que tu cherchais toujours ce trojan c'est pour ça que je dis ça,
et puis quand je dis 2 ou 3 fichier infecté c'est que c'était encore que des fichiers suspects qui ne reparaissait pas aux analyses d'après donc je pensai pas que c'était la peine d'afficher le rapport .

Bref dommage de se quitter en si mauvais termes :( mais merci encore de m'avoir aidé

afideg · Answer

NeoCetras

Merci pour ces précisions.
Il faut reconnaître que les textes, et le contexte,  ne sont pas toujours libellés de façon claire et limpide.
Nous faisons tous un effort pourtant.

Il ne s'agit en aucun cas de se quitter en mauvais terme; il s'agit plutôt de s'expliquer correctement et en toute humilité.

Admets cependant que l'on puisse être sensible à de telles réflexions : « je ne saisis toujours pas pourquoi je dois continuer toutes ces recherches », ou encore lorqu'on doit se contenter des allégations de l'internaute pour ensuite l'entendre dire qu'il dispose de plusieurs analyses dont il se refuse d'en communiquer les rapports plusieurs fois demandés.

Et si tu as à nouveau des soucis, reviens ici quand tu veux; nous ferons tout ce que savons pour te conseiller.

Content d'avoir pu te dépanner; et d'avoir pu épauler Marie pour ce faire.
Bonne nuit
Al.

NeoCetras · Answer

lol, en effet je ne vais pas chercher a me justifier sur le coup, je viens de saisir a quel point ça pouvait être mal pris, c'est pourquoi je m'en excuse à plat ventre !


Et promis, je reviendrais ICI si j'ai un problème !( on peut donc considéré pour l'instant que ce topic est résolu=

Encore une fois un grand merci a vous 2 :)

Bonne continuation !

afideg · Answer

--

Patience-Vigilance-Amour.

tolis · Answer

detected: Trojan program Trojan.Win32.Monder.gen	File: C:\Users\Multirama\AppData\Local\Temp\blwgrjra.dll

bourrier · Answer

bonjour,
même infection hier, avec blocage complet de la machine (tourne en xp pro, sp1).
Redémarrage sans échec avec prise en charge du réseau, installation de sp1a, scan complet, un coup de ccleaner, spybot search and destroy, et c'est reparti!
.....en tout cas, pour moi, ça a marché!

Win32:Trojan-gen {Other}

69 réponses

Votre réponse

Discussions similaires

Newsletters