Trojan Downloader small aakr

LI -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Le portable de mon fils est infecté par trojan. j'ai voulu donné ad aware sur sa clef usb et je pense avoir récupéré trojan par la même occasion. Ad aware supprime trojan qui revient. De même pour norton. comment le supprimer ?
J"ai soit win32.trojan.downloader soit trojan.downloader.ssmall.aakr
Norton a également supprimé bloodhound.sonar.1 mais je ne sais pas si il y a un lien.
Mon fils a fait une analyse sur mon portable avec bitdefender mais un fichier n'a pas été supprimé sur les 5;
Que faire ? merci pour votre aide.

C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
Infecté par: Trojan.Downloader.Small.AAKR

C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
Echec de la désinfection

C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
Supprimé

C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
Infecté par: Trojan.Downloader.Small.AAKR

C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
Echec de la désinfection

C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
Echec de la suppression

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022345.exe
Infecté par: Trojan.Downloader.Small.AAKR

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022345.exe
Echec de la désinfection

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022345.exe
Supprimé

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022360.exe
Infecté par: Trojan.Downloader.Small.AAKR

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022360.exe
Echec de la désinfection

C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP276\A0022360.exe
Supprimé

C:\WINDOWS\system32\drivers\spools.exe
Infecté par: Trojan.Downloader.Small.AAKR

C:\WINDOWS\system32\drivers\spools.exe
Echec de la désinfection

C:\WINDOWS\system32\drivers\spools.exe
Supprimé
Configuration: Windows XP
Internet Explorer 6.0

6 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    ceci est a faire sur les deux ordi en mettant les clé usb inféctées

    Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!

    2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    _________________

    ______________

    ________________

    ensuite pour le pc du fils!:

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
    C:\WINDOWS\system32\drivers\spools.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _____________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."

    ______________
    0
  2. LI
     
    Bonsoir,

    En déplacement pendant 2 jours, mon fils n'a pas attendu et a solutionné le problème sur son portable grâce aux conseils d'un autre site. A moi de me débrouiller maintenant.

    RavAntivirus semble tourner en boucle et indique que l'ordi est infecté. Rapport ci-dessous. J'ai fait le scan avec les 2 clefs infectées

    Avec Flash disinfector, tout semble en ordre. Aucun message ni rapport.

    Merci de m'indiquer que faire maintenant.

    05/03/2008 12:57:44] - virus trouvé : g:\autorun.inf
    [05/03/2008 12:57:45] - virus Supprimé avec succès ==>g:\autorun.inf
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden ==> réparé
    [05/03/2008 12:58:03] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig ==> réparé
    [05/03/2008 12:58:03] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR ==> réparé
    [05/03/2008 12:58:03] - virus Supprimé avec succès
    [05/03/2008 12:58:03] - virus trouvé : g:\autorun.inf
    [05/03/2008 12:58:05] - virus Supprimé avec succès ==>g:\autorun.inf
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden ==> réparé
    [05/03/2008 12:58:19] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig ==> réparé
    [05/03/2008 12:58:19] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR ==> réparé
    [05/03/2008 12:58:19] - virus Supprimé avec succès
    [05/03/2008 12:58:19] - virus trouvé : g:\autorun.inf
    [05/03/2008 12:58:20] - virus Supprimé avec succès ==>g:\autorun.inf
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden ==> réparé
    [05/03/2008 12:58:33] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig ==> réparé
    [05/03/2008 12:58:33] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR ==> réparé
    [05/03/2008 12:58:33] - virus Supprimé avec succès
    [05/03/2008
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :

    C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
    C:\WINDOWS\system32\drivers\spools.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    _____________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."

    ______________

    si tout c'est bien passé désactive la restauration système pour purger les virus qui seraient dedans
    puis redemarre ton ordi
    puis réactive là (dans DEMARRER puis TOUS LES PROGRAMMES puis ACCESSOIRE puis OUTILS SYSTEME puis RESTAURATION SYSTEME puis paramètre)
    ------------------

    recolle un rapport bitdefender
    0
    1. LI
       
      J'espère avoir réalisé toutes les opérations correctement. Pour moi c'est très technique. Je ne comprends pas ce que je fais. Je joins les rapports.

      C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe moved successfully.
      C:\WINDOWS\system32\drivers\spools.exe moved successfully.

      OTMoveIt2 v1.0.20 log created on 03052008_223104


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:44:02, on 05/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      C:\WINDOWS\system32\CTsvcCDA.exe
      C:\WINDOWS\eHome\ehRecvr.exe
      C:\WINDOWS\eHome\ehSched.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\mqsvc.exe
      C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      C:\WINDOWS\system32\mqtgsvc.exe
      C:\WINDOWS\system32\dllhost.exe
      C:\WINDOWS\ehome\ehtray.exe
      C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      C:\WINDOWS\eHome\ehmsas.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\HP\QuickPlay\QPService.exe
      C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\WINDOWS\system32\fxredir.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
      C:\WINDOWS\system32\drivers\spools.exe
      C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
      C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
      C:\WINDOWS\system32\drivers\spools.exe
      C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
      C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
      C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
      C:\hijackthis\eden.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
      O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
      O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
      O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
      O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
      O4 - HKLM\..\Run: [Reminder] C:\Windows\CREATOR\Remind_XP.exe
      O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
      O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
      O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
      O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
      O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
      O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
      O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: BTTray.lnk = ?
      O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
      O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
      O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
      O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - F:\Player\__CDS2.dll (file missing)
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
      O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
      O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
      O23 - Service: MpService - Canon Inc - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
      O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait

    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\system32\fxredir.exe
    C:\Documents and Settings\Platteeuw Olivier\Local Settings\Application Data\cftmon.exe
    C:\WINDOWS\system32\drivers\spools.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ________________

    vire ce qui est dans moved files en allant dans poste de travail puis C puis otmovit

    C:\_OTMoveIt\MovedFiles

    ______________

    relance hijackthis, fais do a system scan only et fait fix cheked:

    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
    O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
    O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

    ________________

    mets a jour JAVA: DEMARRER puis PANNEAU DE CONFIGURATION puis JAVA puis MISE A JOUR
    _________________

    encore des problemes? tu peux verifier avec bitdefender qui ne devrait plus rien trouver!
    0
    1. LI
       
      Il me reste à refaire bitdefender mais je n'ai pu supprimer completement movedfiles IL reste
      movedfiles
      03062008-000845
      windows
      system32
      FxRedir.exe
      La bulle indique multipass fax redirector
      Peux t on utiliser tous ces programmes comme antivirus "standard" ?
      ou faut il supprimer tout ce qui a été installé à la fin quand le virus a disparu
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faudra les supprimer

    ______________

    tu pourra pour te proteger en complement de norton mettre un antiespion comme spybot ou ad aware
    https://www.safer-networking.org/products/
    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/11643.html

    et pour nettoyer tes traces de surf ccleaner
    https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

    a plus
    0
    1. LI
       
      Tout est en ordre. Merci pour l'aide.
      Désagréable situation mais instructif.
      Une dernière question : pour enlever tous les programmes installés en cours de procédure faut il les supprimer simplement sur le bureau ou faut il chercher à faire une désinstalation classique?
      0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il faut les supprimer simplement du bureau en les mettant dans ta corbeille

    bonne continuation
    0