Sujet Précédent Sujet Suivant

TROJAN GENERIC9 & CO

Résolu
Marine -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,

Depuis 2 ou 3 jours, AVG me détecte sans cesse des trojans.
Ca a commencé par Generic9.BAUS, puis ça n'a plus arrêté : Backdoor.Generic9.SYC, PSW.Generic5.AJXZ et autres variations sur le thème Generic. AVG prétend les avoir soignés mais en fait il les a balancés dans le "virus vault"... j'en suis à plus de 80 fichiers infectés, la plupart dans Documents & Settings\Marine\Local Settings\Temp et ce sont des fichiers du type 11exhmrgas2.exe ou 84exhmrgas2.exe. Des processus avec le même genre de nom apparaissent dans le gestionnaire des tâches.
Côté symptômes, bizarrement il n'y a pas grand chose si ce n'est le PC qui rame et les alertes intempestives d'AVG.
Par contre, je crois avoir localisé la source du drame, dans le "virus vault" d'AVG, bien qu'il ait été détecté après les premiers fichiers dans Temp :
Program Files\EMule\Incoming\dB powerAmp Music Converter keygen (ça m'apprendra!) identifié comme étant Generic9.AZVU

Voilà. En tout cas ça me fatigue toutes ces infections, ça pullule de partout et ça commence à m'inquiéter. AVG ne trouve rien quand il scanne le dossier Temp (pourtant je vois défiler les fichiers infectés qu'il m'a signalés), et AVG Anti-Spyware non plus. Le BitDefender en ligne ne trouve rien non plus.

Voici le log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:47, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - https://www.fileplanet.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://www.gamespy.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-913cff7674c45929.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: M-Audio Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Program Files\EMule\Incoming\dB powerAmp Music Converter keygentu l'as supprimé?
vide ton dossier incoming aussi

Télécharge SDFix d’ Andy Manchesta sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

0
Réponse 2 / 22
Marine
 
Salut papyber, merci pour ton aide !

J'ai fait tout comme tu m'as dit, voici le rapport de SDFix :

SDFix: Version 1.142

Run by Marine on 15/02/2008 at 16:37

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\MARINE~1\Bureau\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 16:45:29
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 14

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Enabled:AOL France"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Enabled:BF1942"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942_w32ded.exe:*:Enabled:BF1942_w32ded"
"C:\\Program Files\\America's Army\\System\\ArmyOps.exe"="C:\\Program Files\\America's Army\\System\\ArmyOps.exe:*:Enabled:ArmyOps"
"C:\\Program Files\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe"="C:\\Program Files\\LucasArts\\Star Wars Battlefront II\\GameData\\BattlefrontII.exe:*:Enabled:BattlefrontII"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avginet.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------

Files with Hidden Attributes:

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 5 Aug 2004 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Sun 10 Jul 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 16 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Sat 21 Jun 2003 377,344 A..H. --- "C:\Program Files\Smart Projects\IsoBuster\Help\AHlp.exe"
Thu 5 Aug 2004 73,728 A.SH. --- "C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe"
Fri 8 Jul 2005 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0003.tmp"
Sun 9 Dec 2007 70,656 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0004.tmp"
Wed 28 Sep 2005 21,504 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0031.tmp"
Wed 28 Sep 2005 23,040 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0116.tmp"
Sun 9 Dec 2007 77,824 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0154.tmp"
Sun 9 Dec 2007 80,384 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0221.tmp"
Sun 9 Dec 2007 78,848 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0265.tmp"
Fri 3 Nov 2006 20,992 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0291.tmp"
Wed 28 Sep 2005 90,112 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0317.tmp"
Tue 29 Nov 2005 83,968 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0346.tmp"
Wed 28 Sep 2005 90,112 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0354.tmp"
Sun 9 Dec 2007 86,528 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0387.tmp"
Wed 28 Sep 2005 21,504 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0453.tmp"
Sun 9 Dec 2007 78,848 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0566.tmp"
Wed 28 Sep 2005 22,528 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0705.tmp"
Sun 9 Dec 2007 78,848 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0731.tmp"
Fri 3 Nov 2006 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0745.tmp"
Tue 29 Nov 2005 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0750.tmp"
Wed 28 Sep 2005 22,016 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0757.tmp"
Wed 28 Sep 2005 92,160 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0846.tmp"
Wed 28 Sep 2005 22,016 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL0893.tmp"
Fri 3 Nov 2006 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1095.tmp"
Sun 9 Dec 2007 74,240 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1160.tmp"
Wed 28 Sep 2005 22,528 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1267.tmp"
Sun 9 Dec 2007 79,360 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1311.tmp"
Sun 9 Dec 2007 78,848 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1386.tmp"
Sun 9 Dec 2007 87,040 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1433.tmp"
Sun 9 Dec 2007 80,896 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1453.tmp"
Sun 9 Dec 2007 80,896 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1462.tmp"
Sun 9 Dec 2007 75,264 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1474.tmp"
Tue 29 Nov 2005 19,968 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1490.tmp"
Wed 28 Sep 2005 83,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1506.tmp"
Sun 9 Dec 2007 77,824 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1530.tmp"
Sun 9 Dec 2007 86,528 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1542.tmp"
Wed 28 Sep 2005 25,088 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1556.tmp"
Wed 28 Sep 2005 82,944 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1641.tmp"
Wed 28 Sep 2005 25,600 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1695.tmp"
Sun 9 Dec 2007 81,408 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1708.tmp"
Wed 28 Sep 2005 21,504 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1718.tmp"
Sun 9 Dec 2007 82,432 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1741.tmp"
Sun 9 Dec 2007 74,752 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1930.tmp"
Wed 28 Sep 2005 89,088 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1932.tmp"
Fri 3 Nov 2006 19,968 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL1968.tmp"
Sun 9 Dec 2007 71,680 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2063.tmp"
Wed 28 Sep 2005 25,088 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2067.tmp"
Sun 9 Dec 2007 72,192 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2105.tmp"
Sun 9 Dec 2007 80,896 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2108.tmp"
Wed 28 Sep 2005 89,600 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2131.tmp"
Mon 10 Dec 2007 91,648 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2140.tmp"
Tue 29 Nov 2005 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2148.tmp"
Sun 9 Dec 2007 72,192 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2158.tmp"
Sun 9 Dec 2007 87,552 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2166.tmp"
Sun 9 Dec 2007 71,680 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2173.tmp"
Fri 3 Nov 2006 21,504 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2240.tmp"
Tue 29 Nov 2005 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2252.tmp"
Wed 28 Sep 2005 88,576 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2291.tmp"
Sun 9 Dec 2007 88,576 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2309.tmp"
Sun 9 Dec 2007 82,944 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2311.tmp"
Wed 28 Sep 2005 88,576 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2324.tmp"
Wed 28 Sep 2005 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2325.tmp"
Wed 28 Sep 2005 22,528 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2330.tmp"
Sun 9 Dec 2007 74,752 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2336.tmp"
Sun 9 Dec 2007 87,040 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2455.tmp"
Mon 10 Dec 2007 89,088 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2476.tmp"
Sun 9 Dec 2007 88,064 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2607.tmp"
Fri 3 Nov 2006 20,992 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2650.tmp"
Fri 3 Nov 2006 21,504 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2681.tmp"
Tue 29 Nov 2005 19,968 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2704.tmp"
Sun 9 Dec 2007 71,680 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2801.tmp"
Fri 3 Nov 2006 20,992 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2831.tmp"
Sun 9 Dec 2007 77,312 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL2933.tmp"
Wed 28 Sep 2005 23,552 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3026.tmp"
Wed 28 Sep 2005 24,064 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3028.tmp"
Mon 10 Dec 2007 91,648 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3127.tmp"
Fri 3 Nov 2006 19,968 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3160.tmp"
Wed 28 Sep 2005 25,600 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3218.tmp"
Sun 9 Dec 2007 83,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3268.tmp"
Tue 29 Nov 2005 20,480 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3269.tmp"
Wed 28 Sep 2005 87,040 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3288.tmp"
Sun 9 Dec 2007 75,264 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3317.tmp"
Sun 9 Dec 2007 77,824 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3339.tmp"
Wed 28 Sep 2005 88,064 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3360.tmp"
Wed 28 Sep 2005 24,064 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3364.tmp"
Sun 9 Dec 2007 88,576 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3433.tmp"
Sun 9 Dec 2007 84,480 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3442.tmp"
Fri 3 Nov 2006 19,456 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3568.tmp"
Wed 28 Sep 2005 20,480 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3571.tmp"
Fri 3 Nov 2006 20,480 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3573.tmp"
Sun 9 Dec 2007 71,680 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3671.tmp"
Wed 28 Sep 2005 91,136 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3692.tmp"
Sun 9 Dec 2007 74,752 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3696.tmp"
Sun 9 Dec 2007 88,064 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3709.tmp"
Mon 10 Dec 2007 95,744 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3759.tmp"
Sun 9 Dec 2007 72,192 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3838.tmp"
Wed 28 Sep 2005 87,552 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3928.tmp"
Sun 9 Dec 2007 74,752 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3973.tmp"
Wed 28 Sep 2005 23,552 ...H. --- "C:\Documents and Settings\Marine\Application Data\Microsoft\Word\~WRL3985.tmp"
Mon 16 Oct 2006 31,744 A..H. --- "C:\Documents and Settings\Marine\Bureau\TAF\Ancien\2006-2007\~WRL3318.tmp"
Wed 28 Sep 2005 88,064 ...H. --- "C:\Documents and Settings\Marine\Mes documents\Maitrise\mon taf\m‚moire\~WRL2583.tmp"
Wed 28 Sep 2005 86,528 ...H. --- "C:\Documents and Settings\Marine\Mes documents\Maitrise\mon taf\m‚moire\~WRL3028.tmp"
Tue 27 Sep 2005 83,968 ...H. --- "C:\Documents and Settings\Marine\Mes documents\Maitrise\mon taf\m‚moire\~WRL3155.tmp"
Fri 8 Jun 2007 839,680 A.SH. --- "C:\Documents and Settings\Marine\Bureau\TAF\Ancien\Photos mag-‚cole\antoine - div\Antoine papiers\t‚moignages\SIV47.tmp"

Finished!

J'attends tes lumières ! Merci encore !
0
Réponse 3 / 22
Marine
 
PS : J'ai effectivement vidé le dossier incoming ainsi que temp de eMule. SDFix ne trouve aucun trojan... est-ce parce que AVG les a isolés?? Je viens de refaire un scan avec AVG dans le dossier Documents & Settings\Marine\Local Settings\Temp et il a encore trouvé un trojan qu'il a aussitôt effacé : PSX.Generic5.AJXZ ...Sigh!!
0
Réponse 4 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
un nouveau rapport hijack this
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Marine
 
Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:06, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - https://www.fileplanet.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://www.gamespy.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-913cff7674c45929.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: M-Audio Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 6 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous, 
C:\WINDOWS\system\smvss.exe

et colle-la dans le cadre de gauche de OTMoveIt2 :Paste standard List of Files/Folders to be moved.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

lance hijack this pour un scan et coche ces lignes si encore présentes
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [devenv] C:\WINDOWS\system\smvss.exe /w
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - https://www.fileplanet.com/
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://www.gamespy.com
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

ferme toutes tes fenêtres y compris internet et clique sur fix checked

Fais un scan en ligne avec
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

NOTE: le scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger des contrôles ActiveX, accepte .
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.

Reviens avec le rapport de scan obtenu
0
Réponse 7 / 22
Marine
 
Re,

log MoveIt :

C:\WINDOWS\system\smvss.exe moved successfully.

OTMoveIt2 v1.0.20 log created on 02152008_174803

Ensuite j'ai viré tous les trucs que tu m'as indiqués avec HijackThis

Kapersky... oh my god ç a duré près de deux heures et pendant ce temps AVG a trouvé 3 ou 4 autres trojans

rapport Kaspersky :

Friday, February 15, 2008 8:11:52 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 15/02/2008
Enregistrements dans la base antivirus Kaspersky : 525855

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\

Statistiques de l'analyse
Total d'objets analysés 97747
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:00:10

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Historique\History.IE5\MSHist012008021520080216\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Temp\~DFD5DD.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Temp\~DFD5EA.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Temp\~DFF581.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Marine Stéphan\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP926\A0053268.exe L'objet est verrouillé ignoré

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP927\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

Analyse terminée.

Un dernier scan HijackThis pour le fun :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:14:03, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-913cff7674c45929.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: M-Audio Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 8 / 22
franhel
 
Bonjour,

J'avais le meme pb.

M'en suis sorti en suivant la procédure suivante:

http://assiste.com.free.fr/p/logitheque/hjt_sans_hjt.php
0
Réponse 9 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
pendant ce temps AVG a trouvé 3 ou 4 autres trojans
tu peux me dire où? nom des fichiers et localisation?

Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

0
Réponse 10 / 22
Marine
 
Salut papyber

Depuis que j'ai lancé ComboFix ma connexion n'arrete pas de déconner

rapport combofix :

ComboFix 08-02-16.2 - Marine 2008-02-16 16:59:24.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.114 [GMT 1:00]
Endroit: C:\Documents and Settings\Marine\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-16 to 2008-02-16 ))))))))))))))))))))))))))))))))))))
.

2008-02-15 17:57 . 2008-02-15 17:57 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-15 17:48 . 2008-02-15 17:48 <REP> d-------- C:\_OTMoveIt
2008-02-15 16:35 . 2008-02-15 16:35 <REP> d-------- C:\WINDOWS\ERUNT
2008-02-15 14:38 . 2008-02-15 14:38 <REP> d-------- C:\Program Files\Trend Micro
2008-02-15 14:30 . 2008-02-15 14:35 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-02-15 01:53 . 2008-02-15 01:53 <REP> d-------- C:\Documents and Settings\Marine\Application Data\Grisoft
2008-02-15 01:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-14 01:21 . 2008-02-14 01:19 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-14 01:21 . 2008-02-14 01:21 3,457 --a------ C:\WINDOWS\unins000.dat
2008-02-08 22:28 . 2008-02-08 22:24 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.bmp
2008-02-08 22:28 . 2008-02-08 22:28 3,400 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.dat
2008-02-05 11:56 . 2008-02-15 23:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-05 11:56 . 2008-02-05 11:56 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-18 17:13 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2008-01-18 17:13 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\dllcache\msdv.sys
2008-01-18 17:13 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2008-01-18 17:13 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\dllcache\61883.sys
2008-01-18 17:13 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2008-01-18 17:13 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\dllcache\avc.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-16 15:40 --------- d-----w C:\Program Files\Microsoft AntiSpyware
2008-02-16 15:30 --------- d-----w C:\Documents and Settings\Marine\Application Data\AVG7
2008-02-15 16:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Zylom
2008-02-15 15:20 --------- d-----w C:\Program Files\eMule
2008-02-15 00:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-15 00:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-14 00:26 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-08 21:24 10,886,008 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2008-02-07 00:49 --------- d-----w C:\Program Files\Soulseek
2008-02-05 20:32 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-05 20:32 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-11 05:36 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-09 14:01 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-12-19 22:53 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 13:25 --------- d-----w C:\Program Files\Java
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-17 03:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-12-17 03:31 --------- d-----w C:\Program Files\ahead
2007-12-17 03:28 --------- d-----w C:\Program Files\GameSpy Arcade
2007-12-17 03:27 --------- d-----w C:\Program Files\Windows Media Components
2007-12-08 05:08 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-12-06 11:03 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-12-06 11:02 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-12-06 11:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-12-06 04:59 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll
2006-09-27 17:36 4,096 ----a-w C:\Documents and Settings\Marine\log.dat
2006-09-27 17:36 4,096 ----a-w C:\Documents and Settings\Marine\log.dat
2006-05-05 22:20 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2005-07-12 23:56 158 ----a-w C:\Documents and Settings\Marine\Application Data\wklnhst.dat
2000-11-08 11:15 28,672 ----a-w C:\WINDOWS\inf\regshext.exe
2004-08-05 08:00 73,728 --sha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 09:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-04-25 09:32 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-04-25 09:29 77824]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"UpdateManager"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01 110592]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-11-04 17:40 98394]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-11-04 17:38 688218]
"eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-09-17 16:19 290816]
"gcasServ"="C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" [2005-02-10 21:32 473920]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-04-25 09:32 114688]
"M-Audio Taskbar Icon"="C:\WINDOWS\System32\M-AudioTaskBarIcon.exe" [2005-10-18 09:00 91136]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-05-05 23:37 180269]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-21 16:44 579072]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-25 08:05 219136]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SharedAccess"=2 (0x2)
"iPodService"=3 (0x3)

S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 ma763004;M-Audio MobilePre USB;C:\WINDOWS\system32\drivers\MA763004.sys [2005-10-27 18:51]
S3 ma763008;M-Audio Ozone;C:\WINDOWS\system32\drivers\MA763008.sys [2005-10-18 16:45]
S3 MADFU008;MADFU008;C:\WINDOWS\system32\DRIVERS\MADFU008.sys [2005-10-18 16:46]
S3 MADFU804;MADFU804;C:\WINDOWS\system32\DRIVERS\MADFU804.sys []
S3 P1120VID;Creative WebCam NX Ultra;C:\WINDOWS\system32\DRIVERS\P1120Vid.sys [2004-01-12 09:51]
S3 USB28xxBGA;WinTV HVR-900;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-06-06 19:27]
S3 USB28xxOEM;WinTV OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-06-01 23:51]
S3 USBNZ1X1;M-Audio Ozone Midi;C:\WINDOWS\system32\drivers\usbnz1x1.sys [2005-06-22 09:37]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-12 07:16:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-02-16 15:25:53 C:\WINDOWS\Tasks\User_Feed_Synchronization-{EFA93290-B272-4223-A783-DF926953747F}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 17:03:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-02-16 17:04:55
ComboFix2.txt 2008-02-16 15:49:08
.
2008-02-14 02:07:05 --- E O F ---

Et voilà ce qu4AVG a trouvé hier pendant que Kaspersky scannait :

Trojan horse PSW.Generic5.AJXZ C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\41exgmrgml18.exe 15/02/2008 20:38:25 41exgmrgml18.exe 236.5 KB

Trojan horse PSW.Generic5.AJXZ C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\68exgmrgml18.exe 15/02/2008 20:37:55 68exgmrgml18.exe 236.5 KB

Trojan horse PSW.Generic5.AJXZ C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\6exgmrgml18.exe 15/02/2008 19:53:13 6exgmrgml18.exe 236.5 KB

Trojan horse PSW.Generic5.AJXZ C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\99exgmrgml18.exe 15/02/2008 19:08:19 99exgmrgml18.exe 236.5 KB

Trojan horse PSW.Generic5.AJXZ C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\72exgmrgml18.exe 15/02/2008 19:08:12 72exgmrgml18.exe 236.5 KB

En tout il en trouvé 128 depuis 2 jours.

Voilà merci d'avance pour ton aide
0
Réponse 11 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
pour ta connexion
# Cliquez sur le bouton Démarrer.
# Cliquez sur l'option de menu Paramètres.
# Cliquez sur l'option Panneau de configuration.
# Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
# Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
# Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer.

Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/

* Coche uniquement cette case, décoche tout le reste :

- Recent Files, 30 days

Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.

Remets aussi un log Hijackthis
0
Réponse 12 / 22
Marine
 
Suspect file a scanné en même pas 1 min... voici le rapport :

SystemScan - www.suspectfile.com - ver. 3.5.0 (code: holifay & bReAkdOWn)

Running on: Windows XP HOME Edition, Service Pack 2 (2600.5.1)
System directory: C:\WINDOWS
SystemScan file: C:\Documents and Settings\Marine\Bureau\sys78641.exe
Running in: User mode
Date: 16/02/2008
Time: 18:38:50

Output limited to:
-Recent files

===================== Recent files (30 days old) =====================

----- recent files in C:\
15/02/2008 14:38:08 (DIR) 0 byte 1 days old -- Program Files
15/02/2008 17:48:03 (DIR) 0 byte 1 days old -- _OTMoveIt
15/02/2008 22:34:06 754974720 byte 1 days old -- pagefile.sys
15/02/2008 22:34:08 (DIR)501731328 byte 1 days old -- hiberfil.sys
16/02/2008 17:04:56 8989 byte 0 days old -- ComboFix.txt
16/02/2008 17:04:57 (DIR) 0 byte 0 days old -- QooBox
16/02/2008 17:05:01 (DIR) 0 byte 0 days old -- WINDOWS
16/02/2008 18:01:58 (DIR) 0 byte 0 days old -- $VAULT$.AVG
16/02/2008 18:38:49 (DIR) 0 byte 0 days old -- suspectfile

----- recent files in C:\WINDOWS\
20/01/2008 14:10:01 (DIR) 0 byte 27 days old -- RegisteredPackages
21/01/2008 00:46:20 (DIR) 0 byte 26 days old -- security
05/02/2008 11:56:57 1409 byte 11 days old -- QTFont.for
14/02/2008 00:37:34 (DIR) 0 byte 2 days old -- $hf_mig$
14/02/2008 01:19:48 691545 byte 2 days old -- unins000.exe
14/02/2008 01:21:19 3457 byte 2 days old -- unins000.dat
15/02/2008 01:49:03 (DIR) 0 byte 1 days old -- Debug
15/02/2008 14:35:41 (DIR) 0 byte 1 days old -- BDOSCAN8
15/02/2008 16:35:02 161044 byte 1 days old -- ntbtlog.txt
15/02/2008 16:35:22 (DIR) 0 byte 1 days old -- ERUNT
15/02/2008 17:48:03 (DIR) 0 byte 1 days old -- system
15/02/2008 17:57:07 (DIR) 0 byte 1 days old -- Downloaded Program Files
15/02/2008 20:41:17 32494 byte 1 days old -- SchedLgU.Txt
15/02/2008 22:34:08 2048 byte 1 days old -- bootstat.dat
15/02/2008 22:34:31 50 byte 1 days old -- wiaservc.log
15/02/2008 22:34:32 157 byte 1 days old -- wiadebug.log
15/02/2008 22:34:49 0 byte 1 days old -- 0.log
15/02/2008 22:36:09 (DIR) 0 byte 1 days old -- inf
15/02/2008 23:50:33 54156 byte 1 days old -- QTFont.qfn
15/02/2008 23:56:01 404 byte 1 days old -- wmsetup.log
16/02/2008 16:25:35 1572786 byte 0 days old -- WindowsUpdate.log
16/02/2008 16:41:32 (DIR) 0 byte 0 days old -- erdnt
16/02/2008 16:56:30 (DIR) 0 byte 0 days old -- Downloaded Installations
16/02/2008 17:03:02 254 byte 0 days old -- system.ini
16/02/2008 17:05:01 (DIR) 0 byte 0 days old -- TEMP
16/02/2008 17:05:04 (DIR) 0 byte 0 days old -- system32
16/02/2008 17:10:06 18420 byte 0 days old -- setupapi.log
16/02/2008 18:38:49 (DIR) 0 byte 0 days old -- Prefetch

----- recent files in C:\WINDOWS\Downloaded Program Files\
21/01/2008 17:43:22 130 byte 26 days old -- live.ini
05/02/2008 15:50:32 475136 byte 11 days old -- oscan82.ocx
06/02/2008 15:12:02 7350 byte 10 days old -- lang.ini
07/02/2008 14:06:26 1248 byte 9 days old -- oscan8.inf

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
05/02/2008 00:09:46 18214008 byte 11 days old -- MRT.exe
05/02/2008 21:32:08 103736 byte 11 days old -- PnkBstrB.exe
08/02/2008 22:24:43 10886008 byte 8 days old -- SpoonUninstall.exe
08/02/2008 22:24:49 33846 byte 8 days old -- SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.bmp
08/02/2008 22:28:58 3400 byte 8 days old -- SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.dat
12/02/2008 18:37:05 8 byte 4 days old -- VGANGMJYMWSN.SYS
14/02/2008 03:03:38 (DIR) 0 byte 2 days old -- dllcache
15/02/2008 14:21:39 (DIR) 0 byte 1 days old -- LogFiles
15/02/2008 17:57:04 (DIR) 0 byte 1 days old -- Kaspersky Lab
15/02/2008 22:35:52 (DIR) 0 byte 1 days old -- CatRoot2
15/02/2008 22:35:55 1158 byte 1 days old -- wpa.dbl
16/02/2008 16:42:39 (DIR) 0 byte 0 days old -- drivers
16/02/2008 16:56:44 7168 byte 0 days old -- Thumbs.db

----- recent files in C:\WINDOWS\system32\drivers\
05/02/2008 21:32:41 22328 byte 11 days old -- PnkBstrK.sys
15/02/2008 16:37:34 (DIR) 0 byte 1 days old -- etc

----- recent files in C:\WINDOWS\temp\

----- recent files in C:\Program Files\
20/01/2008 14:10:04 (DIR) 0 byte 27 days old -- Movie Maker
07/02/2008 01:49:22 (DIR) 0 byte 9 days old -- Soulseek
14/02/2008 01:26:19 (DIR) 0 byte 2 days old -- Spybot - Search & Destroy
14/02/2008 03:03:07 (DIR) 0 byte 2 days old -- Internet Explorer
15/02/2008 01:53:17 (DIR) 0 byte 1 days old -- Grisoft
15/02/2008 14:38:08 (DIR) 0 byte 1 days old -- Trend Micro
15/02/2008 16:20:40 (DIR) 0 byte 1 days old -- eMule
16/02/2008 18:37:10 (DIR) 0 byte 0 days old -- Microsoft AntiSpyware

----- recent files in C:\Program Files\Fichiers communs\

----- recent files in C:\Documents and Settings\Marine\Application Data\
15/02/2008 01:53:53 (DIR) 0 byte 1 days old -- Grisoft
16/02/2008 16:30:26 (DIR) 0 byte 0 days old -- AVG7

----- recent files in C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\
15/02/2008 22:34:35 32768 byte 1 days old -- ~DF190.tmp
16/02/2008 17:25:39 16384 byte 0 days old -- ~DF5CF5.tmp
16/02/2008 17:25:39 512 byte 0 days old -- ~DF5D02.tmp
16/02/2008 18:37:21 16384 byte 0 days old -- ~DF2921.tmp
16/02/2008 18:37:21 60 byte 0 days old -- systemscan.ini
16/02/2008 18:37:22 (DIR) 0 byte 0 days old -- nsr62.tmp

==========================================
Scan completed in 0,1 minutes
End of report

~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~
SystemScan uses some freeware tools that remain property of their authors:

* SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts "
* dumphive (Markus Stephany)--> "Registry scan"
* Listdlls (M.Russinovich, B.Cogswell: www.sysinternals.com) --> "Loaded modules"
* Catchme & MBR Rootkit detector (gmer: www.gmer.net) --> "Hidden objects", "Alternate Data Streams" & "Master Boot Record"
---> NOTE: SystemScan integrates "The Avenger" from Swandog46 (http://swandog46.geekstogo.com) to allow you to remove malwares found in this log

Thanks to all of them for their hard work

Et le log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:21, on 16/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe
C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\nsr62.tmp\runme.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra 'Tools' menuitem: Noble Poker - {B723B1B8-9788-4684-ADA7-D1DB02E1D516} - C:\Program Files\Noble Poker\casino.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-913cff7674c45929.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.photoways.com/clients/ImageUploader3.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://support.norton.com/sp/en/us/home/current/info
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D6047D7-DD4B-4D39-9B8A-9A9E0227F26C}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: M-Audio Ozone Installer (OzoneInstallerService) - Nemesis - C:\Program Files\M-Audio\Ozone\Install\ozinst.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 13 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge clean.zip, de Malekal
http://www.malekal.com/download/clean.zip

décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
Poste le rapport obtenu
S’il te demande d’uploader un fichier, tu le fais…

Ouvrir l'Explorateur Windows: > Démarrer > Programmes > Accessoires > Explorateur Windows ou Démarrer > Programmes > Explorateur Windows.
Cliquer sur Outils > Options des dossiers > Affichage.
Sélectionner :
cocher : Afficher les fichiers et dossiers cachés.
décocher : Masquer les extensions des fichiers dont le type est connu.
décocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
Cliquer sur ce lien
https://www.virustotal.com/gui/
Et teste ceci: C:\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe
Cliquer sur Parcourir et indiquer le chemin du ou des fichier(s) que j’ai désigné(s).
Cliquer sur Send File
Au message Sending File, ne pas fermer cette fenêtre.
Si vous avez un message Current Statue: queued : Patience!
Au bout de quelques minutes, vous aurez dans l'encadré: Current status: finished
Faire un copier/coller du résultat et postez-le dans votre prochain message.

recommence avec
C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\nsr62.tmp\runme.exe
C:\WINDOWS\unins000.exe
C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Windows Media Audio 10 Codec.bmp
Tu recaches tes fichiers dossiers
décocher : Afficher les fichiers et dossiers cachés.
recocher : Masquer les extensions des fichiers dont le type est connu.
cocher : Masquer les fichiers protégés du système d'exploitation (recommandé)
Cliquer sur Appliquer et Ok
0
Réponse 14 / 22
Marine
 
clean zip :

16/02/2008 a 19:05:04,37

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\LOOP.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\SpoonUninstall.exe FOUND
"C:\WINDOWS\Downloaded Program Files\CONFLICT.1" FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\DivX\Google\Firefox\ffinstaller.exe" FOUND
*** Fin du rapport !

Ensuite : (Impossible de trouver C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\nsr62.tmp\runme.exe)

sys78641.exe :
Le fichier a déjà été analysé:
MD5: 3f0370b73aba99eb151968154c1be42e
Date 2008.02.09 16:24:18 (CET) [>7D]
Résultats 4/31
Permalink: analisis/d592ff20fc7e96fbd1ed607f7796541c

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.6.10 2008.02.05 -
AntiVir 7.6.0.62 2008.02.08 -
Authentium 4.93.8 2008.02.08 -
Avast 4.7.1098.0 2008.02.08 -
AVG 7.5.0.516 2008.02.09 -
BitDefender 7.2 2008.02.09 DeepScan:Generic.Zlob.B486D4AF
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 PUA.Packed.TeLock
DrWeb 4.44.0.09170 2008.02.09 -
eSafe 7.0.15.0 2008.01.28 suspicious Trojan/Worm
eTrust-Vet 31.3.5522 2008.02.08 -
Ewido 4.0 2008.02.08 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.09 -
F-Prot 4.4.2.54 2008.02.08 -
F-Secure 6.70.13260.0 2008.02.09 -
Ikarus T3.1.1.20 2008.02.09 -
Kaspersky 7.0.0.125 2008.02.09 -
Microsoft 1.3204 2008.02.09 -
NOD32v2 2861 2008.02.09 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.09 -
Prevx1 V2 2008.02.09 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.09 Mal/VB-A
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.09 -
TheHacker 6.2.9.213 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 -
VirusBuster 4.3.26:9 2008.02.09 -
Webwasher-Gateway 6.6.2 2008.02.09 -
Information additionnelle
File size: 683479 bytes
MD5: 3f0370b73aba99eb151968154c1be42e
SHA1: 30b4a2e53018393e2428e77afa87dc3392a65276
PEiD: -
packers: PE_Patch.UPX, UPX, UPX, UPX, PE_Patch, TeLock, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX, PE_Patch.UPX, UPX

Fichier unins000.exe reçu le 2008.02.15 19:06:38 (CET)
Situation actuelle: terminé

Résultat: 0/32 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.15.11 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.14 -
AVG 7.5.0.516 2008.02.15 -
BitDefender 7.2 2008.02.15 -
CAT-QuickHeal None 2008.02.15 -
ClamAV 0.92.1 2008.02.15 -
DrWeb 4.44.0.09170 2008.02.15 -
eSafe 7.0.15.0 2008.02.14 -
eTrust-Vet 31.3.5539 2008.02.15 -
Ewido 4.0 2008.02.15 -
FileAdvisor 1 2008.02.15 -
Fortinet 3.14.0.0 2008.02.15 -
F-Prot 4.4.2.54 2008.02.14 -
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.15 -
Kaspersky 7.0.0.125 2008.02.15 -
McAfee 5230 2008.02.14 -
Microsoft 1.3204 2008.02.14 -
NOD32v2 2879 2008.02.15 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.15 -
Prevx1 V2 2008.02.15 -
Rising 20.31.30.00 2008.02.14 -
Sophos 4.26.0 2008.02.15 -
Sunbelt 2.2.907.0 2008.02.14 -
Symantec 10 2008.02.15 -
TheHacker 6.2.9.221 2008.02.15 -
VBA32 3.12.6.1 2008.02.14 -
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 -
Information additionnelle
File size: 691545 bytes
MD5: fa216964c56aceb2ecafce0815494dbc
SHA1: ab6804f5c6864c7308b042f3457cc7301aa4d67b
PEiD: -
packers: rsrcPE
packers: rsrcPE

Fichier SpoonUninstall-dBpoweramp_Windows reçu le 2008.02.16 19:28:03 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 44 et 63 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.15 -
Avast 4.7.1098.0 2008.02.15 -
AVG 7.5.0.516 2008.02.16 -
BitDefender 7.2 2008.02.16 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.16 -
DrWeb 4.44.0.09170 2008.02.16 -
eSafe 7.0.15.0 2008.02.14 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.16 -
FileAdvisor 1 2008.02.16 -
Fortinet 3.14.0.0 2008.02.16 -
F-Prot 4.4.2.54 2008.02.15 -
F-Secure 6.70.13260.0 2008.02.15 -
Ikarus T3.1.1.20 2008.02.16 -
Kaspersky 7.0.0.125 2008.02.16 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.16 -
NOD32v2 2880 2008.02.15 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.16 -
Prevx1 V2 2008.02.16 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.16 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.16 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.14 -
VirusBuster 4.3.26:9 2008.02.15 -
Webwasher-Gateway 6.6.2 2008.02.15 -
Information additionnelle
File size: 33846 bytes
MD5: 26c7aaba7c702d9c4954da08ebc638aa
SHA1: 5db183c5e3fdc14124dc1ec22e01e155a174dcca
PEiD: -
0
Réponse 15 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\nsr62.tmp
C:\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe

et colle-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.
.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur scanner
Les signatures se chargent, etc.

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm
0
Réponse 16 / 22
Marine
 
Mpve It :

File/Folder C:\DOCUME~1\MARINE~1\LOCALS~1\Temp\nsr62.tmp not found.
C:\Documents and Settings\Marine\Bureau\sys78641.exe moved successfully.

OTMoveIt2 v1.0.20 log created on 02162008_203822

Bit Defender :

BitDefender Online Scanner

Scan report generated at: Sat, Feb 16, 2008 - 22:31:42

Scan path: C:\;D:\;

Statistics

Time
01:50:52

Files
478895

Folders
7799

Boot Sectors
3

Archives
9153

Packed Files
13133

Results

Identified Viruses
5

Infected Files
8

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
8

Engines Info

Virus Definitions
981525

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
41

Unpack plugins
7

E-mail plugins
6

System plugins
5

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\Documents and Settings\Marine Stéphan\Mes documents\Programmes\Jeux & divers\Everest Poker.exe
Detected with: Application.Casonline.J

C:\Documents and Settings\Marine Stéphan\Mes documents\Programmes\Jeux & divers\Everest Poker.exe
Disinfection failed

C:\Documents and Settings\Marine Stéphan\Mes documents\Programmes\Jeux & divers\Everest Poker.exe
Deleted

C:\Program Files\HPQ\Default Settings\CpqsetVer.exe
Infected with: Backdoor.Agent.AHJ

C:\Program Files\HPQ\Default Settings\CpqsetVer.exe
Deleted

C:\Program Files\Trend Micro\HijackThis\backups\backup-20080215-175338-491.dll
Detected with: Application.Downloader.Spygame.A

C:\Program Files\Trend Micro\HijackThis\backups\backup-20080215-175338-491.dll
Disinfection failed

C:\Program Files\Trend Micro\HijackThis\backups\backup-20080215-175338-491.dll
Deleted

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP928\A0053818.exe
Infected with: Backdoor.Agent.AHJ

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP928\A0053818.exe
Deleted

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP928\A0053819.dll
Detected with: Application.Downloader.Spygame.A

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP928\A0053819.dll
Disinfection failed

C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP928\A0053819.dll
Deleted

C:\upload_moi_MARINE.tar.gz=>upload_moi.tar=>_OTMoveIt/MovedFiles/02152008_174803/WINDOWS/system/smvss.exe
Infected with: BehavesLike:Win32.ExplorerHijack

C:\upload_moi_MARINE.tar.gz=>upload_moi.tar=>_OTMoveIt/MovedFiles/02152008_174803/WINDOWS/system/smvss.exe
Disinfection failed

C:\upload_moi_MARINE.tar.gz=>upload_moi.tar=>_OTMoveIt/MovedFiles/02152008_174803/WINDOWS/system/smvss.exe
Deleted

C:\upload_moi_MARINE.tar.gz=>upload_moi.tar
Updated

C:\upload_moi_MARINE.tar.gz
Updated

C:\_OTMoveIt\MovedFiles\02152008_174803\WINDOWS\system\smvss.exe
Infected with: BehavesLike:Win32.ExplorerHijack

C:\_OTMoveIt\MovedFiles\02152008_174803\WINDOWS\system\smvss.exe
Disinfection failed

C:\_OTMoveIt\MovedFiles\02152008_174803\WINDOWS\system\smvss.exe
Deleted

C:\_OTMoveIt\MovedFiles\02162008_203822\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe=>(NSIS o)=>zlib_nsis0011
Infected with: DeepScan:Generic.Zlob.B486D4AF

C:\_OTMoveIt\MovedFiles\02162008_203822\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe=>(NSIS o)=>zlib_nsis0011
Disinfection failed

C:\_OTMoveIt\MovedFiles\02162008_203822\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe=>(NSIS o)=>zlib_nsis0011
Deleted

C:\_OTMoveIt\MovedFiles\02162008_203822\Documents and Settings\Marine Stéphan\Bureau\sys78641.exe=>(NSIS o)
Update failed
0
Réponse 17 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
vérifie que ces fichiers en gras ne sont plus présents, s'ils l'étaient tu les supprimes
C:\Documents and Settings\Marine Stéphan\Mes documents\Programmes\Jeux & divers\Everest Poker.exe
C:\upload_moi_MARINE.tar.gz
C:\Program Files\HPQ\Default Settings\CpqsetVer.exe

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins ccleaner ou
Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation :
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse.
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions "
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer

la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

et bon surf
0
Réponse 18 / 22
Marine
 
Salut papyber,

J'ai fait les dernières manip et apparemment tout se passe bien.

Une dernière question : le virus vault d'AVG contient toujours les fichiers infectés. Ne vaut-il pas mieux les supprimer?

Merci mille fois pour ton aide !
0
Réponse 19 / 22
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
tu supprimes bien sur
bon surf en sécurité!
0
Réponse 20 / 22
Marine
 
C'est fait! Merci beaucoup papyber!!!!!!
0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
A quel pays étranger appartient ".co" ?
LYLY -
Edyn -

3 réponses
Prélèvement "CB Google" inconnu. Arnaque ?
sandrinepommelet -
Roanisel -

29 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses