Virus WIN32: OnLineGames Résolu/Fermé

Question

Bonjour,

Un virus circule ds ma promo.
Mon antivirus avast a détecté un cheval de troie (WIN 32 : OnLineGames - CVP [Trj]). Je l'ai mis en quarantaine, mais je l'ai toujours car quand je vais ds poste de travail, sur le disque dur C, j'ai un message sur un logiciel malveillant. Le virus est ds le système windows. Je sais que les autres de ma promo ont eu plusieurs fichiers infectés par WIN 32.

J'ai besoin d'aide.

Merci d'avance

g!rly · Answer

salut morgane,

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+

morgane3333 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:40, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mlcmoa.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

g!rly · Answer

re,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+

morgane3333 · Answer

Voilà le rapport : ComboFix 08-03-10.1 - acer 2008-03-12 15:56:20.1 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.125 [GMT 1:00] Endroit: C:\Documents and Settings\acer\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\AutoRun.inf D:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_ODBCASVC ((((((((((((((((((((((((((((( Fichiers créés 2008-02-12 to 2008-03-12 )))))))))))))))))))))))))))))))))))) . 2008-03-12 15:38 . 2008-03-12 15:38 d-------- C:\Program Files\Trend Micro 2008-03-12 10:53 . 2008-03-12 15:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-12 10:53 . 2008-03-12 15:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-12 10:46 . 2008-03-12 10:46 d-------- C:\Program Files\Zone Labs 2008-03-12 10:46 . 2008-03-12 10:47 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier 2008-03-12 10:45 . 2008-03-12 10:45 d-------- C:\WINDOWS\Internet Logs 2008-03-11 13:45 . 2008-03-11 13:45 d-------- C:\Documents and Settings\acer\Application Data\dvdcss 2008-03-10 13:56 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-03-10 13:56 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-03-10 13:56 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-03-10 11:54 . 2008-03-10 11:54 d-------- C:\Program Files\BitComet 2008-03-08 00:02 . 2008-03-08 17:47 101,009 -r-hs---- C:\b.com 2008-03-07 09:57 . 2008-03-07 09:57 106,068 -r-hs---- C:\xpbkh.com 2008-03-07 09:56 . 2008-03-04 14:48 108,450 -r-hs---- C:\y82td3td.com 2008-03-06 21:10 . 2008-03-06 21:10 d-------- C:\Documents and Settings\acer\Application Data\vlc 2008-03-06 21:09 . 2008-03-06 21:09 d-------- C:\Program Files\VideoLAN 2008-03-06 18:52 . 2008-03-06 18:52 d-------- C:\Documents and Settings\acer\Application Data\HP 2008-03-06 18:52 . 2008-03-06 18:52 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP 2008-03-06 18:49 . 2008-03-06 18:50 d-------- C:\Program Files\Fichiers communs\HP 2008-03-06 18:47 . 2008-03-06 18:47 d-------- C:\Program Files\Hewlett-Packard 2008-03-06 18:47 . 2008-03-06 18:47 d-------- C:\Program Files\Fichiers communs\Hewlett-Packard 2008-03-06 18:46 . 2006-04-13 02:04 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys 2008-03-06 18:46 . 2006-04-13 02:04 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys 2008-03-06 18:45 . 2006-01-04 09:12 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll 2008-03-06 18:45 . 2006-04-10 14:03 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll 2008-03-06 18:45 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-03-06 18:45 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys 2008-03-06 18:44 . 2006-03-03 21:03 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll 2008-03-06 18:44 . 2006-03-03 21:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll 2008-03-06 18:44 . 2006-03-03 21:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll 2008-03-06 18:44 . 2006-03-03 21:03 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe 2008-03-06 18:44 . 2006-03-03 21:03 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe 2008-03-06 18:44 . 2006-03-03 21:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll 2008-03-06 18:43 . 2008-03-06 18:43 d-------- C:\Program Files\HP 2008-03-06 18:39 . 2008-03-06 18:53 131,968 --a------ C:\WINDOWS\hpoins11.dat 2008-03-06 18:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-03-06 18:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys 2008-03-06 18:38 . 2004-08-05 05:00 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-03-06 18:38 . 2004-08-05 05:00 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-03-06 16:14 . 2008-03-06 16:14 d-------- C:\Documents and Settings\acer\Application Data\CyberLink 2008-03-06 15:33 . 2008-03-06 15:33 d-------- C:\Program Files\Rainlendar2 2008-03-06 13:33 . 2008-03-06 13:33 d-------- C:\Documents and Settings\acer\.rainlendar2 2008-03-06 10:21 . 2008-03-06 10:21 268 --ah----- C:\sqmdata00.sqm 2008-03-06 10:21 . 2008-03-06 10:21 244 --ah----- C:\sqmnoopt00.sqm 2008-03-06 10:13 . 2008-03-06 10:13 d-------- C:\Program Files\MSXML 4.0 2008-03-06 10:05 . 2008-03-06 10:05 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar 2008-03-06 10:04 . 2008-03-06 10:05 d-------- C:\Program Files\MSN Messenger 2008-03-06 09:53 . 2008-03-06 09:54 d-------- C:\Program Files\Windows Live Toolbar 2008-03-06 09:50 . 2008-03-06 09:50 d-------- C:\Documents and Settings\acer\Contacts 2008-03-06 09:39 . 2008-03-06 09:39 d--hs---- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-03-06 09:38 . 2008-03-06 09:38 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-03-06 09:17 . 2008-03-06 09:17 d---s---- C:\Documents and Settings\acer\UserData 2008-03-06 09:16 . 2008-03-06 09:16 d-------- C:\Documents and Settings\acer\Application Data\AdobeUM 2008-03-06 09:09 . 2008-03-06 09:09 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion 2008-03-05 12:48 . 2008-03-05 12:48 d-------- C:\Program Files\Yahoo! 2008-03-05 12:48 . 2008-03-05 12:48 d-------- C:\Program Files\CCleaner 2008-03-05 12:15 . 2008-03-05 12:15 d-------- C:\Program Files\Alwil Software 2008-03-05 12:15 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-03-05 12:15 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-03-05 12:15 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-03-05 12:15 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-03-05 12:15 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-03-05 12:15 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-03-05 12:15 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-03-05 12:15 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-03-05 12:12 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-03-05 12:12 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys 2008-03-05 12:12 . 2004-08-05 05:00 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-03-05 12:12 . 2004-08-05 05:00 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2008-03-05 12:01 . 2008-03-05 12:01 d--hs---- C:\Recycled 2008-03-04 23:54 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2008-03-04 23:54 . 2008-03-04 23:54 385 --a------ C:\WINDOWS\ODBC.INI 2008-03-04 23:52 . 2008-03-04 23:52 d-------- C:\WINDOWS\SHELLNEW 2008-03-04 23:52 . 2008-03-04 23:52 d-------- C:\Program Files\Microsoft.NET 2008-03-04 07:57 . 2008-03-04 07:57 d--hs---- C:\FOUND.000 2008-03-02 23:45 . 2008-03-02 23:45 dr-hs---- C:\WINDOWS\system32\Recycled 2008-03-02 23:44 . 2008-03-02 23:44 124,688 --a------ C:\WINDOWS\system32\mswinsck.ocx 2008-03-02 23:44 . 2004-08-05 05:00 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys 2008-03-02 23:04 . 2008-03-02 23:04 92 --a------ C:\WINDOWS\GridV.UNI 2008-03-02 22:59 . 2006-06-01 20:47 1,168,896 --a------ C:\WINDOWS\system32\ERUpdateHidden.EXE 2008-03-02 22:59 . 2006-03-23 12:02 258,048 --a------ C:\WINDOWS\system32\Uninstall_eRecovery.exe 2008-03-02 22:59 . 2006-03-30 13:06 258,048 --a------ C:\WINDOWS\system32\CheckD2DSystem.exe 2008-03-02 22:59 . 2004-11-03 09:06 159,744 --a------ C:\WINDOWS\system32\CloseProcessWindow.dll 2008-03-02 22:59 . 2005-12-09 09:12 16,384 --a------ C:\WINDOWS\system32\ClearEvent.exe 2008-03-02 22:59 . 2006-02-24 11:28 552 --a------ C:\WINDOWS\system32\setup.iss 2008-03-02 22:58 . 2008-03-02 22:58 d-------- C:\WINDOWS\Options 2008-03-02 22:56 . 2008-03-02 22:56 d-------- C:\Program Files\Launch Manager 2008-03-02 22:56 . 2008-03-02 22:56 83 --a------ C:\WINDOWS\LManager.UNI 2008-03-02 22:55 . 2008-03-02 22:55 d-------- C:\Program Files\Synaptics 2008-03-02 22:55 . 2006-03-03 12:52 192,672 --a------ C:\WINDOWS\system32\drivers\SynTP.sys 2008-03-02 22:55 . 2006-03-03 12:55 114,688 --a------ C:\WINDOWS\system32\SynCtrl.dll 2008-03-02 22:55 . 2006-03-03 12:55 94,298 --a------ C:\WINDOWS\system32\SynTPAPI.dll 2008-03-02 22:55 . 2006-03-03 12:55 82,013 --a------ C:\WINDOWS\system32\SynCOM.dll 2008-03-02 22:55 . 2006-03-03 13:10 81,920 --a------ C:\WINDOWS\system32\SynTPCo2.dll 2008-03-02 22:55 . 2006-03-03 13:08 69,722 --a------ C:\WINDOWS\system32\SynTPFcs.dll 2008-03-02 22:54 . 2005-10-31 03:17 135,168 --a------ C:\WINDOWS\system32\RtlCPAPI.dll 2008-03-02 22:53 . 2006-05-16 03:04 2,879,488 --a------ C:\WINDOWS\SkyTel.exe 2008-03-02 22:53 . 2005-05-03 03:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe 2008-03-02 22:51 . 2005-09-14 17:03 53,248 --a------ C:\WINDOWS\system32\acpimof.dll 2008-03-02 22:51 . 2006-02-16 15:39 45,056 --a------ C:\WINDOWS\system32\Epm-Po.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys 2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll 2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll 2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll 2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll 2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "Rainlendar2"="C:\Program Files\Rainlendar2\Rainlendar2.exe" [2007-04-15 07:31 1291264] "BitComet"="C:\Program Files\BitComet\BitComet.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="" [] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056] "AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 22:35 53248] "PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-04-27 12:10 151552] "ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7 tiMUI.exe" [2005-05-11 17:15 45056] "Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 16:39 204800] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 05:00 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00 455168] "ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 12:11 421888] "Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12 579584] "RTHDCPL"="RTHDCPL.EXE" [2006-05-17 23:27 16207872 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 03:04 2879488 C:\WINDOWS\SkyTel.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946] "LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-06-23 06:59 602112] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 05:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Acer\Acer Arcade\PCMService.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10414:TCP"= 10414:TCP:BitComet 10414 TCP "10414:UDP"= 10414:UDP:BitComet 10414 UDP S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;C:\WINDOWS\system32\eLock2BurnerLockDriver.sys [] S2 eLock2FSCTLDriver;eLock2FSCTLDriver;C:\WINDOWS\system32\eLock2FSCTLDriver.sys [] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 05:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b9ecc64-ee88-11dc-95b9-0016d458bd3c}] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{385f2f0a-ea3e-11dc-95a3-0016d458bd3c}] \Shell\AutoRun\command - G:\b.com \Shell\explore\Command - G:\b.com \Shell\open\Command - G:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{385f2f0b-ea3e-11dc-95a3-0016d458bd3c}] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d2efe6c-ec2d-11dc-95ac-0016d458bd3c}] \Shell\AutoRun\command - F:\xpbkh.com \Shell\explore\Command - F:\xpbkh.com \Shell\open\Command - F:\xpbkh.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2b8cc44-ec43-11dc-95ad-0016d458bd3c}] \Shell\AutoRun\command - F:\xpbkh.com \Shell\explore\Command - F:\xpbkh.com \Shell\open\Command - F:\xpbkh.com . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-12 16:00:51 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\unsecapp.exe . ************************************************************************** . Temps d'accomplissement: 2008-03-12 16:04:03 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-12 15:03:58 . 2008-03-08 09:37:10 --- E O F ---

g!rly · Answer

re, la suite : Copie le texte ci-dessous : File:: C:\b.com C:\xpbkh.com C:\y82td3td.com Ouvre le Bloc-Notes puis colle le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.) Sauvegarde ce fichier sous le nom de CFScript.txt. Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous : http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif Cela va relancer Combofix, Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. S'il n'y a pas de rédémarrage, poste quand même les rapports. puis passe egalement ceci Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! post les trois rapports dans ta prochaine reponse @+

morgane3333 · Answer

Juste des précisions avant de faire cela : 

- qu'est-ce qu'il faut copier dans un bloc notes pr relancer combofix ?  juste ça : 
" File:: 
  C:\b.com 
  C:\xpbkh.com 
  C:\y82td3td.com " ?

- et pr le truc avec les clés USB, faut les insérer et télécharger Rav Antivirus avant de faire Combofix ? ou après ?

- dernière question : il faudra que je désinstalle avast pr avr ce nouvel antivirus, non ?


Merci de m'aider (jsuis vraiment nulle en informatique!)

g!rly · Answer

re,

oui c´est bien ca tu copie et colle ce qui est ci dessous dans le bloc note :

File::
C:\b.com
C:\xpbkh.com
C:\y82td3td.com

puis suis les indication pour enrregistrer le fichier .txt comme indiqué au post 5

ps : tu mets pas de guillemet oui ?! lol

pour les cles usb oui tu les insert sans y toucher et telecharge rav antivirus puis suis la manip`

ca tu le fais apres avoir passé combofix

pas besoin de desinstaller avast rav est un outil de desinfection pas un antivirus

@+

morgane3333 · Answer

Ah oui, et comme tt à l'heure, pr faire le scan combofix, je fermerais zonealarm, couperais la protection actuelle d'avast et je me déconnecterais ?

morgane3333 · Answer

VOILA LES 3 RAPPORTS Rapport COMBOFIX : ComboFix 08-03-10.1 - acer 2008-03-12 16:43:18.2 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.123 [GMT 1:00] Endroit: C:\Documents and Settings\acer\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\acer\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\b.com C:\xpbkh.com C:\y82td3td.com . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\b.com C:\xpbkh.com C:\y82td3td.com . ((((((((((((((((((((((((((((( Fichiers créés 2008-02-12 to 2008-03-12 )))))))))))))))))))))))))))))))))))) . 2008-03-12 15:38 . 2008-03-12 15:38 d-------- C:\Program Files\Trend Micro 2008-03-12 10:53 . 2008-03-12 15:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-03-12 10:53 . 2008-03-12 15:59 32 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-03-12 10:46 . 2008-03-12 10:46 d-------- C:\Program Files\Zone Labs 2008-03-12 10:46 . 2008-03-12 10:47 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier 2008-03-12 10:45 . 2008-03-12 10:45 d-------- C:\WINDOWS\Internet Logs 2008-03-11 13:45 . 2008-03-11 13:45 d-------- C:\Documents and Settings\acer\Application Data\dvdcss 2008-03-10 13:56 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-03-10 13:56 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-03-10 13:56 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-03-10 11:54 . 2008-03-10 11:54 d-------- C:\Program Files\BitComet 2008-03-06 21:10 . 2008-03-06 21:10 d-------- C:\Documents and Settings\acer\Application Data\vlc 2008-03-06 21:09 . 2008-03-06 21:09 d-------- C:\Program Files\VideoLAN 2008-03-06 18:52 . 2008-03-06 18:52 d-------- C:\Documents and Settings\acer\Application Data\HP 2008-03-06 18:52 . 2008-03-06 18:52 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP 2008-03-06 18:49 . 2008-03-06 18:50 d-------- C:\Program Files\Fichiers communs\HP 2008-03-06 18:47 . 2008-03-06 18:47 d-------- C:\Program Files\Hewlett-Packard 2008-03-06 18:47 . 2008-03-06 18:47 d-------- C:\Program Files\Fichiers communs\Hewlett-Packard 2008-03-06 18:46 . 2006-04-13 02:04 49,664 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys 2008-03-06 18:46 . 2006-04-13 02:04 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys 2008-03-06 18:45 . 2006-01-04 09:12 77,824 -ra------ C:\WINDOWS\system32\HPZIDS01.dll 2008-03-06 18:45 . 2006-04-10 14:03 38,400 --a------ C:\WINDOWS\system32\hpz3l054.dll 2008-03-06 18:45 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2008-03-06 18:45 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys 2008-03-06 18:44 . 2006-03-03 21:03 282,680 --a------ C:\WINDOWS\system32\HPZidr12.dll 2008-03-06 18:44 . 2006-03-03 21:02 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll 2008-03-06 18:44 . 2006-03-03 21:02 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll 2008-03-06 18:44 . 2006-03-03 21:03 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe 2008-03-06 18:44 . 2006-03-03 21:03 65,536 --a------ C:\WINDOWS\system32\HPZinw12.exe 2008-03-06 18:44 . 2006-03-03 21:02 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll 2008-03-06 18:43 . 2008-03-06 18:43 d-------- C:\Program Files\HP 2008-03-06 18:39 . 2008-03-06 18:53 131,968 --a------ C:\WINDOWS\hpoins11.dat 2008-03-06 18:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-03-06 18:39 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys 2008-03-06 18:38 . 2004-08-05 05:00 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-03-06 18:38 . 2004-08-05 05:00 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-03-06 16:14 . 2008-03-06 16:14 d-------- C:\Documents and Settings\acer\Application Data\CyberLink 2008-03-06 15:33 . 2008-03-06 15:33 d-------- C:\Program Files\Rainlendar2 2008-03-06 13:33 . 2008-03-06 13:33 d-------- C:\Documents and Settings\acer\.rainlendar2 2008-03-06 10:21 . 2008-03-06 10:21 268 --ah----- C:\sqmdata00.sqm 2008-03-06 10:21 . 2008-03-06 10:21 244 --ah----- C:\sqmnoopt00.sqm 2008-03-06 10:13 . 2008-03-06 10:13 d-------- C:\Program Files\MSXML 4.0 2008-03-06 10:05 . 2008-03-06 10:05 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar 2008-03-06 10:04 . 2008-03-06 10:05 d-------- C:\Program Files\MSN Messenger 2008-03-06 09:53 . 2008-03-06 09:54 d-------- C:\Program Files\Windows Live Toolbar 2008-03-06 09:50 . 2008-03-06 09:50 d-------- C:\Documents and Settings\acer\Contacts 2008-03-06 09:39 . 2008-03-06 09:39 d--hs---- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-03-06 09:38 . 2008-03-06 09:38 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller 2008-03-06 09:17 . 2008-03-06 09:17 d---s---- C:\Documents and Settings\acer\UserData 2008-03-06 09:16 . 2008-03-06 09:16 d-------- C:\Documents and Settings\acer\Application Data\AdobeUM 2008-03-06 09:09 . 2008-03-06 09:09 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo! Companion 2008-03-05 12:48 . 2008-03-05 12:48 d-------- C:\Program Files\Yahoo! 2008-03-05 12:48 . 2008-03-05 12:48 d-------- C:\Program Files\CCleaner 2008-03-05 12:15 . 2008-03-05 12:15 d-------- C:\Program Files\Alwil Software 2008-03-05 12:15 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-03-05 12:15 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-03-05 12:15 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-03-05 12:15 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-03-05 12:15 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-03-05 12:15 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-03-05 12:15 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-03-05 12:15 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-03-05 12:12 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-03-05 12:12 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys 2008-03-05 12:12 . 2004-08-05 05:00 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-03-05 12:12 . 2004-08-05 05:00 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2008-03-05 12:01 . 2008-03-05 12:01 d--hs---- C:\Recycled 2008-03-04 23:54 . 2003-06-19 01:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll 2008-03-04 23:54 . 2008-03-04 23:54 385 --a------ C:\WINDOWS\ODBC.INI 2008-03-04 23:52 . 2008-03-04 23:52 d-------- C:\WINDOWS\SHELLNEW 2008-03-04 23:52 . 2008-03-04 23:52 d-------- C:\Program Files\Microsoft.NET 2008-03-04 07:57 . 2008-03-04 07:57 d--hs---- C:\FOUND.000 2008-03-02 23:45 . 2008-03-02 23:45 dr-hs---- C:\WINDOWS\system32\Recycled 2008-03-02 23:44 . 2008-03-02 23:44 124,688 --a------ C:\WINDOWS\system32\mswinsck.ocx 2008-03-02 23:44 . 2004-08-05 05:00 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys 2008-03-02 23:04 . 2008-03-02 23:04 92 --a------ C:\WINDOWS\GridV.UNI 2008-03-02 22:59 . 2006-06-01 20:47 1,168,896 --a------ C:\WINDOWS\system32\ERUpdateHidden.EXE 2008-03-02 22:59 . 2006-03-23 12:02 258,048 --a------ C:\WINDOWS\system32\Uninstall_eRecovery.exe 2008-03-02 22:59 . 2006-03-30 13:06 258,048 --a------ C:\WINDOWS\system32\CheckD2DSystem.exe 2008-03-02 22:59 . 2004-11-03 09:06 159,744 --a------ C:\WINDOWS\system32\CloseProcessWindow.dll 2008-03-02 22:59 . 2005-12-09 09:12 16,384 --a------ C:\WINDOWS\system32\ClearEvent.exe 2008-03-02 22:59 . 2006-02-24 11:28 552 --a------ C:\WINDOWS\system32\setup.iss 2008-03-02 22:58 . 2008-03-02 22:58 d-------- C:\WINDOWS\Options 2008-03-02 22:56 . 2008-03-02 22:56 d-------- C:\Program Files\Launch Manager 2008-03-02 22:56 . 2008-03-02 22:56 83 --a------ C:\WINDOWS\LManager.UNI 2008-03-02 22:55 . 2008-03-02 22:55 d-------- C:\Program Files\Synaptics 2008-03-02 22:55 . 2006-03-03 12:52 192,672 --a------ C:\WINDOWS\system32\drivers\SynTP.sys 2008-03-02 22:55 . 2006-03-03 12:55 114,688 --a------ C:\WINDOWS\system32\SynCtrl.dll 2008-03-02 22:55 . 2006-03-03 12:55 94,298 --a------ C:\WINDOWS\system32\SynTPAPI.dll 2008-03-02 22:55 . 2006-03-03 12:55 82,013 --a------ C:\WINDOWS\system32\SynCOM.dll 2008-03-02 22:55 . 2006-03-03 13:10 81,920 --a------ C:\WINDOWS\system32\SynTPCo2.dll 2008-03-02 22:55 . 2006-03-03 13:08 69,722 --a------ C:\WINDOWS\system32\SynTPFcs.dll 2008-03-02 22:54 . 2005-10-31 03:17 135,168 --a------ C:\WINDOWS\system32\RtlCPAPI.dll 2008-03-02 22:53 . 2006-05-16 03:04 2,879,488 --a------ C:\WINDOWS\SkyTel.exe 2008-03-02 22:53 . 2005-05-03 03:43 69,632 --a------ C:\WINDOWS\Alcmtr.exe 2008-03-02 22:51 . 2005-09-14 17:03 53,248 --a------ C:\WINDOWS\system32\acpimof.dll 2008-03-02 22:51 . 2006-02-16 15:39 45,056 --a------ C:\WINDOWS\system32\Epm-Po.dll 2008-03-02 22:50 . 2008-03-02 22:50 d-------- C:\WINDOWS\Acer 2008-03-02 22:50 . 2006-05-23 16:22 d--h----- C:\Documents and Settings\acer\Voisinage réseau 2008-03-02 22:50 . 2006-05-23 16:22 d--h----- C:\Documents and Settings\acer\Voisinage d'impression . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\dllcache\mrxdav.sys 2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2007-12-13 18:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll 2007-12-13 18:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll 2007-12-13 18:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll 2007-12-13 18:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll 2007-12-13 18:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll . ((((((((((((((((((((((((((((( snapshot@2008-03-12_16.03.33.40 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-12 15:01:28 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_fc4.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "Rainlendar2"="C:\Program Files\Rainlendar2\Rainlendar2.exe" [2007-04-15 07:31 1291264] "BitComet"="C:\Program Files\BitComet\BitComet.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="" [] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 17:41 45056] "AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2006-04-14 22:35 53248] "PCMService"="C:\Program Files\Acer\Acer Arcade\PCMService.exe" [2006-04-27 12:10 151552] "ntiMUI"="C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7 tiMUI.exe" [2005-05-11 17:15 45056] "Acer ePresentation HPD"="C:\Acer\Empowering Technology\ePresentation\ePresentation.exe" [2006-03-31 16:39 204800] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 05:00 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00 455168] "ePower_DMC"="C:\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-05-30 12:11 421888] "Boot"="C:\Acer\Empowering Technology\ePower\Boot.exe" [2006-03-15 22:12 579584] "RTHDCPL"="RTHDCPL.EXE" [2006-05-17 23:27 16207872 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 03:04 2879488 C:\WINDOWS\SkyTel.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 13:07 761946] "LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2006-06-23 06:59 602112] "eRecoveryService"="C:\Acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 14:40 413696] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 05:00 15360] C:\DOCUME~1\ALLUSE~1\MENUD~1\PROGRA~1\DMARR~1\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2004-12-14 04:44:06 29696] Acer Empowering Technology.lnk - C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-03-27 11:37:58 45056] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Acer\Acer Arcade\PCMService.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"= "C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "10414:TCP"= 10414:TCP:BitComet 10414 TCP "10414:UDP"= 10414:UDP:BitComet 10414 UDP S2 eLock2BurnerLockDriver;eLock2BurnerLockDriver;C:\WINDOWS\system32\eLock2BurnerLockDriver.sys [] S2 eLock2FSCTLDriver;eLock2FSCTLDriver;C:\WINDOWS\system32\eLock2FSCTLDriver.sys [] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 05:00] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b9ecc64-ee88-11dc-95b9-0016d458bd3c}] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{385f2f0a-ea3e-11dc-95a3-0016d458bd3c}] \Shell\AutoRun\command - G:\b.com \Shell\explore\Command - G:\b.com \Shell\open\Command - G:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{385f2f0b-ea3e-11dc-95a3-0016d458bd3c}] \Shell\AutoRun\command - F:\b.com \Shell\explore\Command - F:\b.com \Shell\open\Command - F:\b.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d2efe6c-ec2d-11dc-95ac-0016d458bd3c}] \Shell\AutoRun\command - F:\xpbkh.com \Shell\explore\Command - F:\xpbkh.com \Shell\open\Command - F:\xpbkh.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2b8cc44-ec43-11dc-95ad-0016d458bd3c}] \Shell\AutoRun\command - F:\xpbkh.com \Shell\explore\Command - F:\xpbkh.com \Shell\open\Command - F:\xpbkh.com . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-12 16:44:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-03-12 16:45:16 ComboFix-quarantined-files.txt 2008-03-12 15:45:16 ComboFix2.txt 2008-03-12 15:04:06 . 2008-03-08 09:37:10 --- E O F --- Rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:47:45, on 12/03/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\Empowering Technology\ePerformance\MemCheck.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Acer\Acer Arcade\PCMService.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Acer\Empowering Technology\eRecovery\eRAgent.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\Program Files\Rainlendar2\Rainlendar2.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32 otepad.exe C:\WINDOWS\explorer.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\internet explorer\iexplore.exe C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7 tiMUI.exe O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: Acer Empowering Technology.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mlcmoa.spaces.live.com/PhotoUpload/MsnPUpld.cab O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

morgane3333 · Answer

le rapport pour RAV ativirus ne s'est pas enregistré; c moi qui a copier-coller le log fait.

Il y avait message : votre ordinateur est sain
G enlevé les clés, fermé tout et redémarrer l'ordi.

J voulais juste m'assurer grâce à toi, via les rapports que g mis, que mon ordi est réellement sain.

Merci

morgane3333 · Answer

J'vais bientôt devoir me déconnecter, car je dois partir, mais j'aimerais juste avant, que tu me dises si g plus de pb avec mon ordinateur (en tout cas, qd j'ai cliqué sur disque dur C, g pas eu de message d'avast m'informant de la présence d'un cheval de troie, comme j'avais avant).

Désolée de te harceler de messages (lol !), je sais que tu dois être super occupé aussi, dc merci d'avance pr ta réponse.

g!rly · Answer

re,

c´est ok rav antivirus a supprimé les virus ;-)

pour verifier que tout est ok fais ceci :

regarde ceci concernant avast :

antivir vs avast :

-> http://forum.malekal.com/ftopic3528.php

alors je te conseille de le desinstaller et d´installer antivir a la place

Telecharge et instales l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

@+

morgane3333 · Answer

OK, je ferais un scan entier avec antivir (par contre, j pourrais le faire que demain ou même après demain; dès que je l'aurais fait, je mettrais le rapport à la suite de cette conversation, dc qd tu pourras regarder tu me diras).

En tout cas, merci pr tout.

Et à la prochaine pr ce fameux rapport antivir !!

Bye

g!rly · Answer

Ok ca marche morgane, 

@+

morgane3333 · Answer

Si qqn a des idées pour mon pb de virus, ce serait bien sympa de me les donner !!!

MERCI

g!rly · Answer

Morgane3333,

excuse, je ne reponds que maintenant, 

tous les fichiers present dans le rapport de scan d´antivir sont soit dans la quarantaine de combofix soit dans la restauration system qui a ete touché...

fais ceci :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique.

post un dernier hijack this stp

dis moi quoi

@+

morgane3333 · Answer

Ok, j'ai faitce que tu m'as dit.
Et je t'envoie le scan hijackthis.

(juste pr info, j'avais mal installé antivir je crois, dc je l'ai plus, tjs avast, ms il faut que je le remette)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:07, on 17/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mlcmoa.spaces.live.com/PhotoUpload/MsnPUpld.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

g!rly · Answer

morganne3333,

fais ceci :

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0 

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70 

et pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins : je te comseil ad block plus

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

puis

ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

et instale la derniere :

https://get2.adobe.com/reader/otherversions/

ou oublie completement acrobat reader et instales foxit plus léger a la place:

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

instales un par feu .

par feu : kerio

telechargement : http://sd-1.archive-host.com/membres/up/1366464061/kerio-kpf-422-911-win.rar

tuto :

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

Online armor :

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tuto : https://forum.pcastuces.com/sujet.asp?f=25&s=35606

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

bonus :

anti spyware :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/question-spywareblaser-sujet_174747_1.htm


puis quelle idée d´avoir remis avast qu´est ce qui n´allait pas avec antivir ?

desinstales avast et remets antivir et dis moi 

passe aussi cet anti spyware .

telecharge malwarebytes 

-> http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/anti-malware-sujet_197382_1.htm

tu l´instales, le programme va se mettre a jour automatiquement.

une fois a jour le programme va se lancer, clcik sur l´onglet parametre, tu coche la case : Arreter internet explorer pendant la suppression.

click sur l´onglet recherche maintenant et coche la case : executer un examun complet.

puis click sur rechercher.

laisses le scanner le pc, a la fin un rapport va s´ouvrir copie et colle le ici stp

@+

morgane3333 · Answer

OK OK, jvais regarder tout ça !

Mais, pr l'antivirus, g une explication !! j'avais des messages comme koi je n'avais pas d'antivirus sur mon ordi (alors que c juste parce que je n'avais pas configurer le scanner résident; débile oui, ms on va dire que j'étais fatiguée !!!)

Bon, jvè désinstaller avast et remettre antivir (au fait, les fichiers qui étaient en quarantaine sur avast, ils deviennent koi ??).

 Après,jvè regarder cke t'a mis. Ouais, pr la version internet, ça m'étonne pas. J'avais mis firefox, mais g eu un pb ac ma carte mère qui a été changée y a tout juste deux semaines, c pr ça : g pas eu l tps de réinstaller les bons trucs avant d'avoir un virus !!

g!rly · Answer

re,

ok il se peux qu´antivir n´arrivait pas a se mettre a jour, dis moi si il y arrive maintenant une fois installé...

@+

morgane3333 · Answer

J'ai mis la nouvelle version d'internet. J'ai réinstallé antivir (mise à jour, scanner résident OK) et je l'ai configuré comme tu l'avais indiqué. J'ai fait un scan complet de l'ordi : 4 détections et 2 fichiers qui n'ont pas pu être scannés ! Je mets le rapport : AntiVir PersonalEdition Classic Report file date: lundi 17 mars 2008 20:21 Scanning for 1150818 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: SYSTEM Computer name: ACER-318DE0055E Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:30 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:52 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:48 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:22 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:16 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 19:09:38 ANTIVIR2.VDF : 7.0.3.3 2048 Bytes 07/03/2008 19:09:38 ANTIVIR3.VDF : 7.0.3.41 197632 Bytes 17/03/2008 19:09:38 AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 17/03/2008 19:09:38 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:28 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:18 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.6.0.3 360488 Bytes 17/03/2008 19:09:38 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:08 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:34 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:20 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:44 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:14 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:38 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:22 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: on Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: high Start of the scan: lundi 17 mars 2008 20:21 Starting search for hidden objects. '42026' objects were checked, '0' hidden objects were found. The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'hpqSTE08.exe' - '1' Module(s) have been scanned Scan process 'CLI.EXE' - '1' Module(s) have been scanned Scan process 'CLI.EXE' - '1' Module(s) have been scanned Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned Scan process 'Acer.Empowering.Framework.Launcher.exe' - '1' Module(s) have been scanned Scan process 'unsecapp.exe' - '1' Module(s) have been scanned Scan process 'Rainlendar2.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned Scan process 'eRAgent.exe' - '1' Module(s) have been scanned Scan process 'LManager.exe' - '1' Module(s) have been scanned Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned Scan process 'ePower_DMC.exe' - '1' Module(s) have been scanned Scan process 'PCMService.exe' - '1' Module(s) have been scanned Scan process 'CLI.EXE' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned Scan process 'CLSched.exe' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'RichVideo.exe' - '1' Module(s) have been scanned Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned Scan process 'CLMLService.exe' - '1' Module(s) have been scanned Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'MemCheck.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned Scan process 'EXPLORER.EXE' - '1' Module(s) have been scanned Scan process 'ATI2EVXX.EXE' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'SVCHOST.EXE' - '1' Module(s) have been scanned Scan process 'ATI2EVXX.EXE' - '1' Module(s) have been scanned Scan process 'LSASS.EXE' - '1' Module(s) have been scanned Scan process 'SERVICES.EXE' - '1' Module(s) have been scanned Scan process 'WINLOGON.EXE' - '1' Module(s) have been scanned Scan process 'CSRSS.EXE' - '1' Module(s) have been scanned Scan process 'SMSS.EXE' - '1' Module(s) have been scanned 48 processes with 48 modules were scanned Starting master boot sector scan: Master boot sector HD0 [NOTE] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '46' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\hiberfil.sys [WARNING] The file could not be opened! Begin scan in 'D:\' D:\xpbkh.com [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [INFO] The file was deleted! D:\y82td3td.com [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen [INFO] The file was moved to '4810c978.qua'! D:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP8\A0000519.com [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen [INFO] The file was moved to '480ec97f.qua'! D:\System Volume Information\_restore{114BBA23-0C1A-4D24-8D0F-D4F7325498E1}\RP8\A0000520.com [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen [INFO] The file was moved to '480ec982.qua'! End of the scan: lundi 17 mars 2008 20:48 Used time: 27:18 min The scan has been done completely. 4272 Scanning directories 216684 Files were scanned 4 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 1 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 216680 Files not concerned 6519 Archives were scanned 2 Warnings 0 Notes 42026 Objects were scanned with rootkit scan 0 Hidden objects were found

morgane3333 · Answer

Il me reste encore le pare-feu à installer : t'en as mis 3; ils sont tous équivalents niveau performance ? jvè installer le 1er !

Sinon, voilà le rapport demandé :


Malwarebytes' Anti-Malware 1.08
Version de la base de données: 499

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 84977
Temps écoulé: 31 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

g!rly · Answer

morganne333,

les par feu sont equivalent, sauf zone alarm qui est un peu moins perforamant, moi j´ai kerio...

ok pour malwarebytes ;-)

fais ceci pour verifier un truc :

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous: 

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier G!RLY.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport. 

@´+

morgane3333 · Answer

Nouveau rapport :


C:\autorun.inf Non trouvé 
C:\MS32DLL.dll.vbs Non trouvé 
D:\autorun.inf Non trouvé 
D:\MS32DLL.dll.vbs Non trouvé 
F:\autorun.inf Non trouvé 
F:\MS32DLL.dll.vbs Non trouvé 
G:\autorun.inf Non trouvé 
G:\MS32DLL.dll.vbs Non trouvé 
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    LaunchApp	REG_SZ	
    ATICCC	REG_SZ	"C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
    AzMixerSel	REG_SZ	C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    PCMService	REG_SZ	"C:\Program Files\Acer\Acer Arcade\PCMService.exe"
    ntiMUI	REG_SZ	C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
    Acer ePresentation HPD	REG_SZ	C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
    MSPY2002	REG_SZ	C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    PHIME2002ASync	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    PHIME2002A	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    ePower_DMC	REG_SZ	C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
    Boot	REG_SZ	C:\Acer\Empowering Technology\ePower\Boot.exe
    RTHDCPL	REG_SZ	RTHDCPL.EXE
    SkyTel	REG_SZ	SkyTel.EXE
    SynTPEnh	REG_SZ	C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    LManager	REG_SZ	C:\PROGRA~1\LAUNCH~1\LManager.exe
    eRecoveryService	REG_SZ	C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
    HP Software Update	REG_SZ	C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr	REG_SZ	"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    Rainlendar2	REG_SZ	C:\Program Files\Rainlendar2\Rainlendar2.exe
    BitComet	REG_SZ	"C:\Program Files\BitComet\BitComet.exe" /tray

g!rly · Answer

ok morgane3333

plus de doute de ce coté la ;-)

comment va ton pc ?

@+

morgane3333 · Answer

ça va !!! lol

g!rly · Answer

ok ;-)

fais ceci :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés; 
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique. 

puis

Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolsclean(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

@+

morgane3333 · Answer

-->- Recherche: 

C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\acer\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\acer\Bureau\PB WIN 32\ComboFix.exe: trouvé !
C:\Documents and Settings\acer\Bureau\PB WIN 32\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\acer\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\acer\Bureau\PB WIN 32\ComboFix.exe: supprimé !
C:\Documents and Settings\acer\Bureau\PB WIN 32\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

g!rly · Answer

ok morganne de toi 3333 ;-)

nos chemins se separent ici...

Bonne soirée/continuation`

Bye`

g!rly`

morgane3333 · Answer

Merci beaucoup pour tout !

J'espère que j'aurai plus besoin de toi à partir de maintenant !! ;-)

Bonne soirée
Bye

g!rly · Answer

De rien ;-)

A jamais`

Virus WIN32: OnLineGames

31 réponses

Discussions similaires